I made this presentation (in Dutch) to suppport AD and security trainings. During upload, the font definitions were lost and so were the animations. If you would like to have the full version, let me know ...
6. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket
7. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket SHA KA is ook bekend In Master-database…
8. Timestamp Client PC Server1 KDC (Key Distribution Center) (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket
9. Timestamp Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket RC4
10. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b Client genereert het KRB_AS_REQ ticket
11. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b KRB_AS_REQ Pre-authentication data (Windows optie)
12. Client PC Server1 KDC (Key Distribution Center) TGS TGS = Ticket Granting Service 6b3e77019fc853dae7b KRB_AS_REQ
13. Client PC Server1 KDC (Key Distribution Center) TGS ? ! Timestamp = OK User is Alice!! (Alice) Het meegezonden en versleutelde timestamp wordt ontsleuteld met Alice’s long-term key (KA) uit de KDC database … 6b3e77019fc853dae7b KRB_AS_REQ RC4
14. Client PC Server1 KDC KDC genereert sessie- sleutel (SA) voor client … maakt een Ticket Granting Ticket (TGT) aan en kopieert SA hierin … TGT wordt met KDC Master Key, (KKDC), versleuteld Long-term keys User keys 6b3e77019fc853dae7b KRB_AS_REQ Valid until: …… TGT Valid until: …… TGT RC4
15. Client PC Server1 … SA wordt nu met KA nogmaals versleuteld … KDC Long-term keys User keys Valid until: …… TGT RC4
16. Client PC Server1 KRB_AS_REP KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly) Valid until: …… TGT
17. Client PC Server1 KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly)
18. Client PC Server1 … Client decodeert Sessiesleutel met KA… KDC Long-term keys User keys RC4
19. Client PC Server1 KDC Long-term keys User keys … het meegezonden TGT blijft versleuteld en wordt in RAM bewaard … Valid until: …… TGT
20. Client PC Server1 KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT
21. Client PC Server1 In Client RAM … Client is nu geauthenticeerd … KDC Long-term keys User keys Valid until: …… TGT
22. Client PC Server1 Fase 2 … Client vraagt Serviceticket aan voor sessie met Server1… Timestamp 6b3e77019fc853dae7b … Timestamp wordt versleu- teld met zojuist verkregen sessiesleutel SA … In Client RAM … KDC Long-term keys User keys RC4 Valid until: …… TGT
23. Client PC Server1 Timestamp 6b3e77019fc853dae7b In Client RAM … KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT Valid until: …… TGT
24. Client PC Server1 Timestamp 6b3e77019fc853dae7b (Service request) KRB_TGS_REQ KDC Long-term keys User keys Valid until: …… TGT
26. Client PC Server1 Timestamp TGS KDC Long-term keys User keys KDC decodeert TGT weer met KKDC om over sessiesleutel SA te kunnen beschikken Valid until: …… TGT Valid until: …… TGT RC4
27. Valid until: …… TGT Client PC Server1 Timestamp TGS Timestamp = OK 6b3e77019fc853dae7b KDC Long-term keys User keys Authenticatie d.m.v. decoderen timestamp met sessiesleutel SA RC4
28. Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) Server1hareyDoc.doc MyDoc.doc Long-term keys User keys
29. Timestamp Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) Server1hareyDoc.doc MyDoc.doc Server1 Long-term keys User keys
30. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Long-term keys User keys
31. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Server1 ? ! (Server1) Host keys Long-term keys User keys KDC zoekt host-key (KB) van Server1 in database
32. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Server1 Host keys Long-term keys User keys
33. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1
34. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … Server1 Timestamp Valid until: YYMMDD:h…
35. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … de versie voor Server1 wordt versleuteld met de host-key (KB) van Server1 RC4
36. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en deze versleutelde versie wordt geplaatst in het serviceticket voor de client … Server1 Timestamp Valid until: YYMMDD:h…
37. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…
38. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … het geheel wordt daarna versleuteld met de sessie-sleutel SA, die alleen bij KDC en Client bekend is … RC4
39. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys
40. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld RC4
41. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld +
42. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … Server1 Timestamp Valid until: YYMMDD:h…
43. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie … Server1 Timestamp Valid until: YYMMDD:h… RC4
44. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie …
45. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys
46. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys 6b3e77019fc853dae7b 6b3e77019fc853dae7b
47. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … Server1 moet nu KAB verkrijgen door het ontvangen pakket met zijn host-key (KB) te ontsleutelen … RC4
48. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…
49. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK Host keys Long-term keys User keys … nu kan het timestamp gecontroleerd worden … RC4
50. Client PC Server1 Timestamp KDC Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK Host keys Long-term keys User keys
51. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice
52. Secure channel met key SA Secure channel met key KAB Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice
53. Secure channel met key SA Secure channel met key KAB Client PC Server1 KDC Host keys Long-term keys User keys Client PC ◄ Sessiesleutel ► ◄ Sessiesleutel ► Overzicht toegepaste sleutels