PKINIT

Public Key Cryptography for Initial Authentication in Kerberos는

사전 인증 단계인 AS-REQ를 패스워드가 아닌 공개키를 기반으로 인증하는 매커니즘입니다.

기존의 Kerberos 인증 과정에서 TGT를 요청자의 패스워드 정보로 암호화하는 것이 아닌

패스워드를 입력하지 않아도 공개 키 기반 인증서로 초기 인증을 할 수 있기 때문에

보안성은 향상된 방식입니다.

PKINIT을 통한 TGT 발급 방식은 아래와 같습니다.

1. 사용자는 KDC에 AS-REQ를 보내며 TGT 발급 주체의 인증서를 전송

2. KDC는 클라이언트의 인증서를 검증

3. KDC는 클라이언트의 공개키를 사용하여 암호화된 AS-REP 응답