I sistemi Linux memorizzano le credenziali in tre tipi di cache, ovvero **File** (nella directory `/tmp`), **Kernel Keyrings** (un segmento speciale nel kernel Linux) e **Memoria del Processo** (per uso di singolo processo). La variabile **default\_ccache\_name** in `/etc/krb5.conf` rivela il tipo di archiviazione in uso, predefinito a `FILE:/tmp/krb5cc_%{uid}` se non specificato.
Il documento del 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), delinea metodi per estrarre credenziali da keyrings e processi, enfatizzando il meccanismo del keyring del kernel Linux per gestire e memorizzare le chiavi.
La **chiamata di sistema keyctl**, introdotta nella versione del kernel 2.6.10, consente alle applicazioni in user space di interagire con i keyrings del kernel. Le credenziali nei keyrings sono memorizzate come componenti (principale predefinito e credenziali), distinte dalle cache di file che includono anche un'intestazione. Lo **script hercules.sh** del documento dimostra come estrarre e ricostruire questi componenti in un file ccache utilizzabile per il furto di credenziali.
Basato sui principi dello **script hercules.sh**, lo strumento [**tickey**](https://github.com/TarlogicSecurity/tickey) è specificamente progettato per estrarre ticket dai keyrings, eseguito tramite `/tmp/tickey -i`.
