2.2.6 - Chave de Sessão
Usuários e serviços compartilham um segredo com o KDC. Para usuários, este segredo é a chave derivada de suas senhas, e para serviços, é a chave secreta (configurada pelo administrador). Essas chaves são chamadas de longa duração, uma vez que não mudam com a sessão de trabalho.
Contudo, é necessário que o usuário também compartilhe um segredo com o serviço, ao menos pelo tempo em que um cliente tem uma sessão de trabalho aberta no servidor: essa chave, gerada pelo KDC quando um bilhete é emitido, é chamada "Chave de Sessão". A cópia pretendida para o serviço é coberta pelo KDC no bilhete (em qualquer caso, o servidor de aplicação sabe a chave de longa duração e pode decodificá-la e extrair a chave de sessão), e a cópia pretendida para o usuário é encapsulada em um pacote criptografado com a chave de longa duração do usuário. A chave de sessão desempenha um papel fundamental em demonstrar a autenticidade do usuário, mostrado na seção a seguir.