关于 SRP 协议: http ://en.wikipedia.org/wiki/Secure_remote_password_protocol
我可以看到会话密钥 (K) 的生成是非常安全的,但是在最后一步中,用户发送了 K (M) 的证明。如果网络不安全并且中间的攻击者捕获了 M,他将能够在没有 K 的情况下进行身份验证。对吗?
问问题
685 次
2 回答
11
一点背景
众所周知的价值观(预先确定):
n A large prime number. All computations are performed modulo n.
g A primitive root modulo n (often called a generator).
用户密码设置为:
x = H(s, P)
v = g^x
H() One-way hash function
s A random string used as the user's salt
P The user's password
x A private key derived from the password and salt
v The host's password verifier
认证:
+---+------------------------+--------------+----------------------+
| | Alice | Public Wire | Bob |
+---+------------------------+--------------+----------------------+
| 1 | | C --> | (lookup s, v) |
| 2 | x = H(s, P) | <-- s | |
| 3 | A = g^a | A --> | |
| 4 | | <-- B, u | B = v + g^b |
| 5 | S = (B - g^x)^(a + ux) | | S = (A · v^u)^b |
| 6 | K = H(S) | | K = H(S) |
| 7 | M[1] = H(A, B, K) | M[1] --> | (verify M[1]) |
| 8 | (verify M[2]) | <-- M[2] | M[2] = H(A, M[1], K) |
+---+------------------------+--------------+----------------------+
u Random scrambling parameter, publicly revealed
a,b Ephemeral private keys, generated randomly and not publicly revealed
A,B Corresponding public keys
m,n The two quantities (strings) m and n concatenated
S Calculated exponential value
K Session key
你的问题的答案:
如您所见,双方根据各自可用的值分别计算 K(=会话密钥)。
如果 Alice 在步骤 2 中输入的密码 P 与她最初用来生成 v 的密码相匹配,那么 S 的两个值都将匹配。
然而,实际的会话密钥 K 永远不会通过线路发送,只有双方已成功计算相同会话密钥的证明。所以中间人可以重新发送证明,但由于他没有实际的会话密钥,他将无法对截获的数据做任何事情。
于 2010-12-29T10:12:37.580 回答
0
该证明仅对某个 K 有效。
没有 MITM:
Alice <-K-> Bob
Alice 为 K 生成一个证明,Bob 接受它
使用中间人:
Alice <-K1-> Eve <-K2-> Bob
Alice 为 K1 生成了一个证明,但是当 Eve 将它呈现给 Bob 时,他不接受它,因为它不适合 K2。
于 2010-12-28T18:33:25.230 回答