「PKINIT(事前認証)について調べてみました」 2004-04-04 桑村 潤 もともと、Kerberos4プロトコルが辞書攻撃や総あたり攻撃に さらされるた場合の脆弱性があるそうです。この原因は、KDC が暗号化されたTGTを誰にでも返してしまうということにある ため、これを避けるために事前認証(pre-authentiatin)を導 入したようです。KDCが特定のプリンシパルにチケットを発行 する前にクライアントの身元を証明させるてめの認証とのこ と。 事前認証を有効にした場合は、初期認証でイニシャルチケッ トを要求されたときに、KDCはTGTを返すかわりに KRB_ERROR を返し、それに対してクライアントが再び、事前認証データ で要求してきてから、KDCは認証の決定をするようです。 クライアント 認証サーバ 初期認証データ --- AS_REQ ---> <-- KR_ERROR -- 事前認証データ --- AS_REQ ---> <-- AS_REP --- イニシャルチケット (注意:やりとりされる内容は、実際には暗号化されていたりします)