Sistemas Linux armazenam credenciais em três tipos de caches, a saber **Arquivos** (no diretório `/tmp`), **Keyrings do Kernel** (um segmento especial no kernel do Linux) e **Memória do Processo** (para uso de um único processo). A variável **default\_ccache\_name** em `/etc/krb5.conf` revela o tipo de armazenamento em uso, padrão para `FILE:/tmp/krb5cc_%{uid}` se não especificado.
O artigo de 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.
A **chamada de sistema keyctl**, introduzida na versão 2.6.10 do kernel, permite que aplicativos de espaço do usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos caches de arquivos que também incluem um cabeçalho. O **script hercules.sh** do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.
Baseando-se nos princípios do **script hercules.sh**, a ferramenta [**tickey**](https://github.com/TarlogicSecurity/tickey) é projetada especificamente para extrair tickets de keyrings, executada via `/tmp/tickey -i`.
