Điểm:0

Kerberos sử dụng mã hóa xác thực nào trong windows?

lá cờ cn
adi

Tôi đã tìm hiểu về giao thức kerberos và thấy rằng phiên bản windows sử dụng một vài lược đồ mã hóa được xác thực (như rc4-hmac-md5).

Loại mã hóa được xác thực là gì? Có phải là:

  1. Mã hóa-sau đó-MAC

  2. Mã hóa và MAC

  3. MAC-rồi-Mã hóa

Cảm ơn bạn

Điểm:2
lá cờ fr

Nó phụ thuộc vào thuật toán. Đặc tả Kerberos nêu rõ rằng các chức năng mã hóa và giải mã phải xử lý việc kiểm tra tính toàn vẹn, nhưng thuật toán được chỉ định phải xác định hành vi này.

Các loại thuật toán Kerberos an toàn hợp lý duy nhất mà Windows hỗ trợ là aes128-cts-hmac-sha1-96aes256-cts-hmac-sha1-96. Cả hai lựa chọn này đều không phải là lựa chọn tuyệt vời vì chúng sử dụng SHA-1, nhưng HMAC-SHA-1 vẫn an toàn trong bối cảnh này, mặc dù vẫn nên tránh sử dụng SHA-1 nói chung. Trong các thuật toán này, đó là mã hóa và MAC: văn bản gốc được thêm vào trước bằng một chuỗi ngẫu nhiên, cả MAC và mã hóa đều được thực hiện trên văn bản gốc được thêm vào trước đó và MAC được thêm vào.

Đối với các hệ thống sử dụng hiện đại hơn aes128-cts-hmac-sha256-128aes256-cts-hmac-sha384-192, chúng được mã hóa-sau đó-MAC: MAC được tính toán trên bản mã. Tuy nhiên, Windows không hỗ trợ điều đó, mặc dù hầu hết các hệ thống Unix đều hỗ trợ.

Windows cũng hỗ trợ nhiều thuật toán cũ hơn, không an toàn cho Kerberos, không nên sử dụng thuật toán nào trong số đó. Các thuật toán đó sử dụng DES đơn trong chế độ CBC với CRC (!) hoặc HMAC-MD5 và RC4 với HMAC-MD5. Mặc dù HMAC-MD5 được coi là an toàn khi được sử dụng làm MAC, nhưng các bên chịu trách nhiệm hoàn toàn không sử dụng MD5 và RC4 có những điểm yếu mà thực tế có thể bị tấn công trong nhiều giao thức. Single DES có thể bẻ khóa thương mại với giá 20 đô la, vì vậy nó hoàn toàn không an toàn. Nếu bạn vẫn quan tâm đến mã hóa của họ, tôi sẽ giới thiệu cho bạn các RFC có liên quan.

adi avatar
lá cờ cn
adi
Tôi hiểu rồi, vì vậy các cửa sổ đã sử dụng các đề xuất rfc cho các thuật toán cũ hơn (không thay đổi các lược đồ).
bk2204 avatar
lá cờ fr
Chà, các RFC xác định cách các thuật toán đó được triển khai. Chúng là quy chuẩn nếu bạn triển khai các thuật toán đó như một phần của Kerberos và nếu bạn thay đổi chúng thì đó không phải là Kerberos. Nếu Windows làm mọi thứ khác đi, thì nó sẽ không tương tác với các hệ thống khác sử dụng Kerberos, điều này sẽ không tốt vì nhiều lý do. Windows có thể triển khai các sơ đồ AES-CTS-HMAC-SHA-2 để cải thiện bảo mật, nhưng thực tế thì không.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.