Kerberos использует des-cbc-hmac (mac и шифрование) и rc4-hmac-exp на основе md5 (я думаю, mac и шифрование) в своих шифрах.
Эти шифрования считаются слабыми и не должны использоваться. Почему их считают слабыми? Какие атаки могут быть запущены против этих шифров?
По поводу шифров:
- DES считается слабым блочным шифром, поскольку длина ключа относительно короткая. Это одна из причин, по которой был создан «тройной DES» (3DES).
- RC4 — это поточный шифр, который страдает от множества различных уязвимостей, подробно описанных, например, на странице RC4 в Википедии.
Что касается режима шифрования: цепочку блоков шифрования (CBC) нелегко распараллелить, поэтому могут быть предпочтительны другие режимы, такие как CCM или GMC.
Что касается аутентифицированного шифрования: обычно считается, что «зашифровать, затем MAC» лучше, чем «MAC, затем зашифровать», и оба лучше, чем «MAC и зашифровать». См., например, раздел 5.3 книги «Введение в современную криптографию» (3-е издание) Каца и Линделла. Эти авторы используют термины «шифровать и аутентифицировать» в сравнении с «аутентифицировать, затем шифровать» и «шифровать, а затем аутентифицировать».