I made this presentation (in Dutch) to suppport AD and security trainings. During upload, the font definitions were lost and so were the animations. If you would like to have the full version, let me know ...

1. Kerberos Authenticatie Lex Zwetsloot Trainer - Consultant Messaging & Security

4. KDC (Key Distribution Center) Client PC Server1

5. KDC (Key Distribution Center) Client PC Server1

6. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket

7. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket SHA KA is ook bekend In Master-database…

8. Timestamp Client PC Server1 KDC (Key Distribution Center) (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket

9. Timestamp Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket RC4

10. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b Client genereert het KRB_AS_REQ ticket

11. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b KRB_AS_REQ Pre-authentication data (Windows optie)

12. Client PC Server1 KDC (Key Distribution Center) TGS TGS = Ticket Granting Service 6b3e77019fc853dae7b KRB_AS_REQ

13. Client PC Server1 KDC (Key Distribution Center) TGS ? ! Timestamp = OK User is Alice!! (Alice) Het meegezonden en versleutelde timestamp wordt ontsleuteld met Alice’s long-term key (KA) uit de KDC database … 6b3e77019fc853dae7b KRB_AS_REQ RC4

14. Client PC Server1 KDC KDC genereert sessie- sleutel (SA) voor client … maakt een Ticket Granting Ticket (TGT) aan en kopieert SA hierin … TGT wordt met KDC Master Key, (KKDC), versleuteld Long-term keys User keys 6b3e77019fc853dae7b KRB_AS_REQ Valid until: …… TGT Valid until: …… TGT RC4

15. Client PC Server1 … SA wordt nu met KA nogmaals versleuteld … KDC Long-term keys User keys Valid until: …… TGT RC4

16. Client PC Server1 KRB_AS_REP KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly) Valid until: …… TGT

17. Client PC Server1 KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly)

18. Client PC Server1 … Client decodeert Sessiesleutel met KA… KDC Long-term keys User keys RC4

19. Client PC Server1 KDC Long-term keys User keys … het meegezonden TGT blijft versleuteld en wordt in RAM bewaard … Valid until: …… TGT

20. Client PC Server1 KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT

21. Client PC Server1 In Client RAM … Client is nu geauthenticeerd … KDC Long-term keys User keys Valid until: …… TGT

22. Client PC Server1 Fase 2 … Client vraagt Serviceticket aan voor sessie met Server1… Timestamp 6b3e77019fc853dae7b … Timestamp wordt versleu- teld met zojuist verkregen sessiesleutel SA … In Client RAM … KDC Long-term keys User keys RC4 Valid until: …… TGT

23. Client PC Server1 Timestamp 6b3e77019fc853dae7b In Client RAM … KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT Valid until: …… TGT

24. Client PC Server1 Timestamp 6b3e77019fc853dae7b (Service request) KRB_TGS_REQ KDC Long-term keys User keys Valid until: …… TGT

25. Client PC Server1 Timestamp TGS KDC Long-term keys User keys

26. Client PC Server1 Timestamp TGS KDC Long-term keys User keys KDC decodeert TGT weer met KKDC om over sessiesleutel SA te kunnen beschikken Valid until: …… TGT Valid until: …… TGT RC4

27. Valid until: …… TGT Client PC Server1 Timestamp TGS Timestamp = OK 6b3e77019fc853dae7b KDC Long-term keys User keys Authenticatie d.m.v. decoderen timestamp met sessiesleutel SA RC4

28. Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) Server1hareyDoc.doc MyDoc.doc Long-term keys User keys

29. Timestamp Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) Server1hareyDoc.doc MyDoc.doc Server1 Long-term keys User keys

30. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Long-term keys User keys

31. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Server1 ? ! (Server1) Host keys Long-term keys User keys KDC zoekt host-key (KB) van Server1 in database

32. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Server1 Host keys Long-term keys User keys

33. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1

34. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … Server1 Timestamp Valid until: YYMMDD:h…

35. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … de versie voor Server1 wordt versleuteld met de host-key (KB) van Server1 RC4

36. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en deze versleutelde versie wordt geplaatst in het serviceticket voor de client … Server1 Timestamp Valid until: YYMMDD:h…

37. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…

38. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … het geheel wordt daarna versleuteld met de sessie-sleutel SA, die alleen bij KDC en Client bekend is … RC4

39. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys

40. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld RC4

41. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld +

42. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … Server1 Timestamp Valid until: YYMMDD:h…

43. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie … Server1 Timestamp Valid until: YYMMDD:h… RC4

44. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie …

45. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys

46. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys 6b3e77019fc853dae7b 6b3e77019fc853dae7b

47. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … Server1 moet nu KAB verkrijgen door het ontvangen pakket met zijn host-key (KB) te ontsleutelen … RC4

48. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…

49. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK Host keys Long-term keys User keys … nu kan het timestamp gecontroleerd worden … RC4

50. Client PC Server1 Timestamp KDC Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK  Host keys Long-term keys User keys

51. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice

52. Secure channel met key SA Secure channel met key KAB Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice

53. Secure channel met key SA Secure channel met key KAB Client PC Server1 KDC Host keys Long-term keys User keys Client PC ◄ Sessiesleutel ► ◄ Sessiesleutel ► Overzicht toegepaste sleutels

54. Einde