爱丽丝想和鲍勃谈谈。
Bob通过向Alice发送一个nonce来验证Alice是Alice。
Alice用密钥加密nonce。
Ben也知道这把钥匙是什么。
Ben不记得要求Alice进行通信,因为他正在无状态服务器上运行。 为了解决这个问题,Alice通过发送原始随机数和加密的随机数发送Ben他的第一个通信请求。
我是否正确地说这是不安全的,因为如果包含原始随机数和加密的随机数的消息被黑客截获 - 这两个可能是逆向工程并且可以获得密钥'K'?
感谢
答案 0 :(得分:0)
我最初想说“不要给原始字符串和加密字符串”,但这与在最后发布原始数据以及数据+密钥的HMAC哈希几乎相同。如果您确信您的加密算法是好的并且您使用的是密钥,那么我不会看到这可能是一个问题。
然而,一个随机数的整个点将被使用ONCE。 Alice向Bob发送一个带有nonce的请求,Bob知道如果他收到来自Alice的具有相同nonce的请求,请忽略它,因为它可能来自攻击者而不是Alice本人。所以你不应该首先这样做。