Linux sistemi čuvaju kredencijale u tri tipa kešova, naime **Fajlovi** (u `/tmp` direktorijumu), **Kernel Keyrings** (poseban segment u Linux kernelu) i **Memorija procesa** (za korišćenje u jednom procesu). **default\_ccache\_name** varijabla u `/etc/krb5.conf` otkriva tip skladišta koji se koristi, podrazumevano na `FILE:/tmp/krb5cc_%{uid}` ako nije specificirano.
Rad iz 2017. godine, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), opisuje metode za ekstrakciju kredencijala iz keyrings i procesa, naglašavajući mehanizam keyring-a Linux kernela za upravljanje i skladištenje ključeva.
**keyctl sistemski poziv**, uveden u verziji kernela 2.6.10, omogućava aplikacijama u korisničkom prostoru da komuniciraju sa kernel keyrings. Kredencijali u keyrings se čuvaju kao komponente (podrazumevani principal i kredencijali), različito od fajl ccaches koji takođe uključuju zaglavlje. **hercules.sh skripta** iz rada demonstrira ekstrakciju i rekonstrukciju ovih komponenti u upotrebljiv fajl ccache za krađu kredencijala.
Osnovan na principima **hercules.sh skripte**, alat [**tickey**](https://github.com/TarlogicSecurity/tickey) je posebno dizajniran za ekstrakciju tiketa iz keyrings, izvršava se putem `/tmp/tickey -i`.