0

爱丽丝想和鲍勃说话。

Bob 通过向 Alice 发送一个 nonce 来验证 Alice 是 Alice。

Alice 使用密钥加密随机数。

本也知道这把钥匙是什么。

Ben 不记得要求 Alice 进行通信,因为他在无状态服务器上运行。为了解决这个问题,Alice 通过发送原始 nonce 和加密的 nonce 来向 Ben 发送他的第一个通信请求。

我是否会说这是不安全的,因为如果包含原始 nonce 和加密 nonce 的消息被黑客拦截 - 这两者可能是逆向工程并且可以获得密钥“K”?

谢谢

4

1 回答 1

0

我最初想说“不要给出原始字符串和加密字符串”,但这与在最后发布原始数据以及数据的 HMAC 哈希 + 密钥几乎相同。如果您确信您的加密算法是好的并且您使用的是密钥,那么我不认为这可能是一个问题。

但是,nonce 的整个点将被使用一次。Alice 向 Bob 发送一个带有 nonce 的请求,Bob 知道如果他从 Alice 那里收到一个带有相同 nonce 的请求,忽略它,因为它可能来自攻击者而不是 Alice 本人。所以你不应该首先这样做。

于 2013-12-05T00:31:19.783 回答