FAST(Flexible Authentication Secure Tunneling, RFC-6113)

[Tak10]

Доброго времени суток. Пытаюсь разобраться с FAST(Flexible Authentication Secure Tunneling, RFC-6113). Кто хорошо знает kerberos, помогите, пожалуйста, понять как именно формируется armor key. Цитата из документации alt linux: " Armoring (бронирование) — это механизм создания защитного ключа (armor key), который используется для шифрования всего обмена в рамках FAST. Этот ключ создаётся на основе существующих Kerberos-билетов и ключей, что гарантирует его привязку к конкретной сессии и аутентификации. Формирование armor key происходит путём комбинирования двух ключей:
-subkey — это временный ключ, создаваемый клиентом и включаемый в AP-REQ. Он обеспечивает уникальность и свежесть текущей сессии.
-ticket_session_key — это ключ сессии из билета (TGT), которым клиент уже располагает."
Не совсем понимаю как правильно это интерпретировать. Имеется ввиду что kerberos билет(а точнее сессионный ключ из kerberos билета) всегда участвует в создании armor key? Или все-таки kerberos билеты используются только тогда когда они уже есть у пользователя, а если их нет, то используется какой-то другой секрет заранее известный и kdc и клиенту?
Если всегда используется kerberos билет(сессионный ключ из него), то как в таком случае формируется armor key при входе на рабочую станцию, когда у пользователя нет еще ни одного kerberos билета?
Вот ссылка на документацию откуда взята цитата: ActiveDirectory/Kerberos/Tickets — ALT Linux Wiki