Puncte:0

Ce criptare autentificată folosește Kerberos în Windows?

drapel cn
adi

Am aflat despre protocolul kerberos și am văzut că versiunea Windows folosește câteva scheme de criptare autentificate (cum ar fi rc4-hmac-md5).

Ce tip de criptare autentificată este? Este o:

  1. Criptați-apoi-MAC

  2. Criptare-și-MAC

  3. MAC-apoi-Encrypt

Mulțumesc

Puncte:2
drapel fr

Depinde de algoritm. Specificația Kerberos afirmă că funcțiile de criptare și decriptare trebuie să se ocupe de verificarea integrității, dar algoritmul specificat trebuie să definească acest comportament.

Singurele tipuri de algoritmi Kerberos rezonabil de sigure pe care le acceptă Windows sunt aes128-cts-hmac-sha1-96 și aes256-cts-hmac-sha1-96. Niciuna dintre acestea nu este alegeri grozave, deoarece folosesc SHA-1, dar HMAC-SHA-1 este încă sigur în acest context, deși SHA-1 în general ar trebui totuși evitat. În acești algoritmi, este criptare-și-MAC: textul simplu este adăugat un șir aleatoriu, MAC-ul și criptarea sunt ambele făcute peste acel text simplu preprended, iar MAC-ul este atașat.

Pentru sistemele care folosesc cele mai moderne aes128-cts-hmac-sha256-128 și aes256-cts-hmac-sha384-192, sunt criptați-apoi-MAC: MAC-ul este calculat prin text cifrat. Windows nu acceptă acest lucru, totuși, deși majoritatea sistemelor Unix o acceptă.

Windows acceptă, de asemenea, o varietate de algoritmi mai vechi, nesiguri pentru Kerberos, dintre care niciunul nu ar trebui utilizat. Acei algoritmi folosesc DES unic în modul CBC cu un CRC (!) sau HMAC-MD5 și RC4 cu HMAC-MD5. Chiar dacă HMAC-MD5 este considerat a fi sigur atunci când este utilizat ca MAC, părțile responsabile nu folosesc deloc MD5, iar RC4 are puncte slabe care sunt practic atacabile în multe protocoale. Single DES este crackabil comercial pentru 20 USD, deci este total nesigur. Dacă oricum sunteți interesat de criptarea lor, vă trimit la RFC-urile relevante.

adi avatar
drapel cn
adi
Văd, deci Windows a folosit sugestiile rfc pentru algoritmii mai vechi (fără a schimba schemele).
bk2204 avatar
drapel fr
Ei bine, RFC-urile definesc modul în care acești algoritmi sunt implementați. Sunt normative dacă implementați acei algoritmi ca parte a Kerberos, iar dacă îi schimbați, atunci nu este Kerberos. Dacă Windows ar face lucrurile diferit, atunci nu ar interopera cu alte sisteme care utilizează Kerberos, ceea ce ar fi rău din multe motive. Windows ar putea implementa schemele AES-CTS-HMAC-SHA-2 pentru o securitate îmbunătățită, dar nu a făcut-o.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.