J'ai mis en place un serveur/client Kerberos en utilisant les sockets en Java, où le client envoie son service TGT au serveur, et le serveur connaît le client est authentique.Interaction Java/C# Kerberos possible?
Ma principale préoccupation est le furetage 'man-in-the-middle' attaque. Quelqu'un pourrait capturer le TGT et prétendre être le client. Dans une implémentation Java pure, cela ne pose aucun problème, car une communication supplémentaire est cryptée avec les clés de session de service (GSSContext.wrap()/GSSContext.unwrap()), ce qui n'est pas le cas du snooper.
Mais l'application cliente doit être ré-écrit en C#.
Je figure mes deux options pour maintenir la communication cryptée sont:
- écrire mes propres méthodes wrap() et déballez() en C#
- SSL/TLS.
Est-ce que l'option 1 est possible, avant de considérer le SSL comme une option?
J'ai SSL pour travailler, parce que je pensais que l'option 1 serait douloureuse. Je ne peux pas vraiment utiliser un scénario de clé privée, car l'application cliente pourrait être décompilée pour fonctionner. SSL/TLS semble être le chemin à parcourir. Merci – djb
Super d'avoir été utile. Juste pour clarifier, je voulais dire que l'algorithme de chiffrement symétrique pourrait utiliser la clé de session comme son secret. Ce ne serait pas codé en dur et changerait à chaque session. –