home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 650 < prev    next >
Encoding:
Text File  |  1992-09-02  |  2.1 KB  |  54 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!ksr.com!dean
  3. From: dean@ksr.com
  4. Subject: Re: New User Accounts
  5. Message-ID: <199209021933.AA04400@magrathea.ksr.com>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. Date: Wed, 2 Sep 1992 19:33:46 GMT
  9. Lines: 43
  10.  
  11. My thought is that a service key (from the /etc/srvtab) can be used  
  12. to get a ticket and a session key for the "kerberos-SecurID" server.
  13.  
  14. The securID code would be encrypted using this session key and sent  
  15. to the kerberos-SecurID server, which could authenticate the code and  
  16. change the kerberos password (private key) to be the securID code.
  17.  
  18. The kerberos-securID server ask the securID server if the code is  
  19. valid, and performs the next code/new pin protocol with the client.  
  20. This communication would be encrypted in the session key obtained  
  21. previously.
  22.  
  23. When SecurID code is authenticated, the password is changed to the  
  24. securID code, and is changed again in 30 seconds to a random key so  
  25. the old code cannot be reused. (Thus limiting the damage if the real  
  26. code is stolen).
  27.  
  28. If the SecurID code in not authenticated, the kerberos password  
  29. (private key) is not changed.
  30.  
  31. The kerberos (re)initialization now proceeds as usual, kerberos sends  
  32. a ticket for the principal encrypted in the principal's current  
  33. kerberos key
  34.  
  35. Since the workstation has the correct SecurID code, it can decrypt  
  36. the response and obtain the ticket and the new session key only if  
  37. the securID authentication was successful.
  38.  
  39. I think the only way to compromise this scheme is to steal the  
  40. service key in the /etc/srvtab file and decrypt the communication  
  41. with the kerberos-SecurID server.  If one could do this, one could  
  42. also steal the securID code as it were entered, by replacing the  
  43. login or kinit program.   The problem of capturing good passwords  
  44. with a compromised workstation is not addressed by kerberos, and only  
  45. limited by SecurID by virtue of the changing password.
  46.  
  47. What say you?
  48.  
  49.         --Dean
  50.  
  51. Dean Anderson
  52. KSR Computing Facilities
  53. Kendall Square Research
  54.