Ticket-Grantingチケット

Kerberos プロトコルは当初設計されていたため、ユーザーのマスター キーはユーザーによって提供されたパスワードから派生しました。 ユーザーがログオンすると、ユーザーのワークステーション上の Kerberos クライアントは、ユーザーからのパスワードを受け入れ、テキストを一方向 ハッシュ 関数を介して暗号化キーに変換しました。 結果のハッシュは、ユーザーの マスター キーでした。 クライアントはこの マスター キー を使用して、KDC から受信した セッション キー の暗号化を解除しました。

元の Kerberos 設計の問題は、クライアントが KDC からセッション キーを復号化するたびにユーザーのマスター キーを必要とすることです。 つまり、クライアントは、すべてのクライアント/サーバー交換の開始時にユーザーにパスワードを要求する必要があります。または、クライアントはワークステーションにユーザーのキーを格納する必要があります。 ユーザーの頻繁な中断が侵入しすぎている。 ワークステーションにキーを格納すると、長期的なキーであるユーザー パスワードから派生したキーが損なわれるリスクがあります。

この問題に対する Kerberos プロトコルの解決策は、クライアントが KDC から一時キーを取得することです。 この一時キーは、この ログオン セッションにのみ適しています。 ユーザーがログオンすると、クライアントは、他のサービスのチケットを要求するのと同様に、KDC のチケットを要求します。 KDC は、ログオン セッション キーと、KDC の完全なチケット付与サービスである特別なサーバーのチケットを作成することによって応答します。 ログオン セッション キーの 1 つのコピーがチケットに埋め込まれており、チケットは KDC のマスター キーで暗号化されます。 ログオン セッション キーの別のコピーは、ユーザーのログオン パスワードから派生したユーザーのマスター キーで暗号化されます。 チケットと暗号化されたセッション キーの両方がクライアントに送信されます。

クライアントは KDC の応答を取得すると、ユーザーのパスワードから派生したユーザーのマスター キーを使用してログオン セッション キーの暗号化を解除します。 クライアントはログオン セッション キーを使用して KDC から取得したサーバー セッション キーのコピーを復号化するため、クライアントはユーザーのパスワードから派生したキーを必要としなくなりました。 クライアントは、KDC の完全なチケット付与サービスのチケットと共に、ログオン セッション キーをチケット キャッシュに格納します。

完全なチケット付与サービスのチケットは、チケット付与チケット (TGT) と呼ばれます。 クライアントが KDC にチケットをサーバーに要求すると、他のサービスに 資格情報 を提示するのと同様に、認証メッセージとチケット (この場合は TGT) の形式で資格情報が提示されます。 チケット付与サービスは、マスター キーを使用して TGT を開き、このクライアントのログオン セッション キーを抽出し、ログオン セッション キーを使用してサーバーのセッション キーのクライアントのコピーを暗号化します。