我的Java应用程序使用kerberos向Windows Active Directory KDC进行身份验证,并且它在krb5配置文件中的default_tkt_enctypesdefault_tgs_enctypespermitted_enctypes使用RC4-HMAC。

通过用es128-cts-hmac-sha1-96替换RC4-HMAC,应用程序提供以下KrbException,其状态码为14。


  消息:KDC不支持加密类型
  javax.security.auth.login.FailedLoginException:登录错误:


我的问题是Kerberos是否容易受到RC4 Bar Mitzvah附加的攻击?
如果是,如何解决以上例外情况。

最佳答案

通常,没有人会受到Bar Mitzvah的攻击,至少没有人在我的地雷上,但是使用AES时,您的JDK需要无限的策略文件。这是由于加密货币出口限制。请参阅:How to avoid installing "Unlimited Strength" JCE policy files when deploying an application?

还请确保您的KDC(例如Active Directory)至少是Windows Server2008。2003不支持AES。

10-06 09:11
查看更多