Kerberos RC4-HMAC 是不是容易受到成年礼攻击?
Posted
技术标签:
【中文标题】Kerberos RC4-HMAC 是不是容易受到成年礼攻击?【英文标题】:Is Kerberos RC4-HMAC vulnerable to Bar Mitzvah Attack?Kerberos RC4-HMAC 是否容易受到成年礼攻击? 【发布时间】:2015-04-24 07:48:17 【问题描述】:我的 Java 应用程序使用 kerberos 对 Windows Active Directory KDC 进行身份验证,并且它在 krb5 配置文件中对 default_tkt_enctypes、default_tgs_enctypes、permitted_enctypes 使用 RC4-HMAC。
通过将 RC4-HMAC 替换为 aes128-cts-hmac-sha1-96,应用程序会在 KrbException 之后给出状态码 14。
消息:KDC 不支持加密类型 javax.security.auth.login.FailedLoginException:登录错误:
我的问题是 Kerberos 是否容易受到 RC4 Bar Mitzvah attach 的攻击? 如果是,如何解决上述异常。
【问题讨论】:
【参考方案1】:通常,没有人在成人礼上受到攻击,至少没有人在我这里,但您使用 AES,您需要为您的 JDK 提供无限策略文件。这是由于加密货币出口限制。请看:How to avoid installing "Unlimited Strength" JCE policy files when deploying an application?
还请确保您的 KDC,例如 Active Directory 至少是 Windows Server 2008。2003 不支持 AES。
【讨论】:
【参考方案2】:我已经在KDC has no support for encryption type (14) 报告了我对 KrbException 14 和 default_tkt_enctypes 没有 rc4-hmac 问题的看法
【讨论】:
以上是关于Kerberos RC4-HMAC 是不是容易受到成年礼攻击?的主要内容,如果未能解决你的问题,请参考以下文章
SecKeychainAddGenericPassword 是不是容易受到黑客攻击