问题标签 [srp-protocol]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
3195 浏览

security - 浏览器中的 TLS/SRP?

在任何主要浏览器中是否有 RFC 5054 的计划或现有实现?

如果还没有实现,那么哪些主要浏览器在他们的路线图上有它?在哪里?

0 投票
2 回答
685 浏览

algorithm - 为什么 SRP 不是明文等效的?

关于 SRP 协议: http ://en.wikipedia.org/wiki/Secure_remote_password_protocol

我可以看到会话密钥 (K) 的生成是非常安全的,但是在最后一步中,用户发送了 K (M) 的证明。如果网络不安全并且中间的攻击者捕获了 M,他将能够在没有 K 的情况下进行身份验证。对吗?

0 投票
2 回答
1886 浏览

java - 应用程序级别的安全远程密码协议

我正在编写一个 Java EE 应用程序,它允许新用户自己注册,然后通过 Internet 登录。我将凭据存储在一个数据库中。

现在,有几种方法可以做到这一点,例如:

  • 发送用户名和密码,最好通过 TLS/SSL 连接
  • 发送用户名和密码的哈希码,最好通过 TLS/SSL 连接
  • 使用安全远程密码协议(最好通过 TLS/SSL 连接?)

阅读一些文章,似乎安全远程密码协议(SRP)是要走的路。

但是随后阅读其他一些文章,似乎这仅用于某些低级层,例如 TLS/SSL 本身。

我仍然认为,建议在应用程序级别使用安全远程密码协议。

这个对吗?还是有一些很好的理由说明应用程序级别不需要这样做?

0 投票
2 回答
113 浏览

javascript - 是否可以在中转时修改服务器回复

我正在构建一个 javascript 库,它允许使用 SRP-6 协议对服务器进行身份验证。

我知道由于 XSS,使用 javascript 作为身份验证方法不是最佳选择。但是适当的 XSS 预防可以消除大多数问题。

我唯一关心的是在用户收到请求之前修改服务器回复有多容易?

示例场景:

用户请求页面:http://serverdomain/home

服务器:回复:

在用户收到回复之前。黑客能否以某种方式神奇地修改回复

这可能吗?这是我在使用 javascript 进行身份验证时能想到的漏洞之一。

0 投票
2 回答
461 浏览

c# - C# BigIntegers 获得正数 modPow

我正在尝试实施 SRP 协议以进行安全身份验证。我的问题是,当我必须计算一个负数的 ModPow 时,它也会返回一个负数。我知道它可能被称为余数而不是模数,但我真的必须得到正模数才能生成正确的散列。

我怎么能那样做?

0 投票
3 回答
1337 浏览

javascript - Browser-Based SRP without Java

I am considering implementing the Secure Remote Password protocol to conduct a zero-knowledge password proof between the browser and my web application. The SRP website provides an example, but it requires java to perform calculations. I am wondering whether it is possible to implement SRP using javascript without the use of Java, as I do not want to require my users to have Java installed, particularly as my audience will be a security conscious one which would potentially consider the risk of having the java plugin enabled a greater risk to their security than a zero-knowledge password proof.

Here is the link to their demo: http://srp.stanford.edu/demo/

0 投票
0 回答
655 浏览

c# - SRP6a 中的不同会话密钥

我尝试在我的解决方案中使用 srp6 spr4net ( https://code.google.com/p/srp4net/ ) 的实现。因此,我将客户端从 javascript 重写为 C# 到我的 WinForm 应用程序。并且想知道,会话密钥不匹配!我整天都在努力解决它,但没有结果。

这是我的 srp6a 实现:

...和服务器端..(http://code.ohloh.net/file?fid=Xxqdu2GY4_w8UD2b_4VNP_5Cp9I&cid=bLhc6E0xdjo&s=&fp=31372&projSelected=true#L0

会话密钥公式中可能有错误,但我不知道在哪里:C

0 投票
1 回答
358 浏览

erlang - SRP6 中的不同会话密钥

我正在尝试使用加密模块在 Erlang 中实现 SRP6,但我无法让会话密钥匹配。我使用的是 256 位素数。当我使用 1024 位素数时,它们匹配。我在 crypto:compute_key 中省略了可选的扰频器参数,但它没有区别。

谁能帮我弄清楚为什么我的会话密钥不匹配?

可以在这里找到要点https://gist.github.com/jcclinton/4cdc9f616927677737a2

0 投票
0 回答
571 浏览

java - 安全远程密码协议 SRP 和 Spring Security

我正在尝试查找有关 SRP(安全远程密码协议)版本 6 及更高版本的弹簧安全实现(如果有)的更多信息。Jboss 已经实现了这个协议。

http://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Security_on_JBoss-The_Secure_Remote_Password_SRP_Protocol.html

spring 是否也有或打算整合它?是否有任何实现示例,即使使用外部库/项目但与 Spring 相关?

0 投票
0 回答
715 浏览

linux - 如何将密码文件传递给openssl srp

我正在尝试使用 -passin 参数通过文件将密码传递给 openssl srp,如下所示,但我收到错误。

我收到以下错误

你能建议我犯了什么错误吗?
谢谢