Compartir a través de

Vales de sesión

  • Artículo

En lugar de enviar las claves de sesión cifradas a ambas entidades de seguridad, el KDC envía las copias del cliente y del servidor de la clave de sesión al cliente. La copia del cliente de la clave de sesión se cifra con la clave maestra del cliente y, por tanto, ninguna otra entidad no puede descifrarla. La copia del servidor de la clave de sesión está incrustada, junto con los datos de autorización sobre el cliente, en una estructura de datos denominada vale. El vale se cifra por completo con la clave maestra del servidor y, por lo tanto, el cliente no puede leer ni cambiar, ni ninguna otra entidad que no tenga acceso a la clave maestra del servidor. Es responsabilidad del cliente almacenar el vale de forma segura hasta que se comunique con el servidor.

Nota:

El KDC solo proporciona un servicio de concesión de vales. El cliente y el servidor son responsables de mantener protegidas sus respectivas claves maestras.

 

Cuando el cliente recibe la respuesta del KDC, extrae el vale y su propia copia de la clave de sesión, dejando ambos a un lado en una caché segura. Para establecer una sesión segura con el servidor, envía al servidor un mensaje que consta del vale, todavía cifrado con la clave maestra del servidor y un mensaje autenticador cifrado con la clave de sesión. Juntos, el vale y el mensaje de autenticación son las credenciales del cliente para el servidor.

Cuando el servidor recibe credenciales de un cliente, descifra el vale con su clave maestra, extrae la clave de sesión y usa la clave de sesión para descifrar el mensaje del autenticador del cliente. Si todo se desvía, el servidor sabe que el KDC emitió las credenciales del cliente, una entidad de confianza. Para la autenticación mutua, el servidor responde mediante el cifrado de la marca de tiempo del mensaje de autenticación del cliente mediante la clave de sesión. Este mensaje cifrado se envía al cliente. A continuación, el cliente descifra el mensaje. Si el mensaje devuelto es el mismo que la marca de tiempo del mensaje autenticador original, el servidor se autentica.

Como ventaja adicional, el servidor no necesita almacenar las claves de sesión que usa con sus clientes. Es responsabilidad de cada cliente administrar el vale para el servidor en su caché de vales y presentar ese vale cada vez que accede al servidor. Cada vez que el servidor recibe un vale de un cliente, usa su clave maestra para descifrar el vale y extraer la clave de sesión. Cuando el servidor ya no necesita la clave de sesión, se elimina la clave.

El cliente no necesita tener acceso al KDC cada vez que quiera acceder a este servidor en particular. Los billetes se pueden reutilizar. Como precaución contra la posibilidad de robo de billetes, los billetes tienen un tiempo de expiración, especificado por el KDC en la estructura del billete. El tiempo que un vale es válido depende de la directiva kerberos para el dominio kerberos. Normalmente, los vales son buenos durante no más de ocho horas, aproximadamente la duración de una sesión de inicio de sesión normal. Cuando el usuario de una estación de trabajo cliente cierra sesión, se vacía la caché de vales de cliente y se destruyen todas las entradas y claves de sesión de cliente.