我正在尝试开发一个Android客户端,它通过RFC 2945 的SRP协议安全地连接到Linux服务器。我知道服务器通过OpenSSL库API实现SRP协议,但在Android客户端中我使用 srpforjava on Google Code来实现SRP。 (原因:此实现具有服务器和客户端代码,因此我可以轻松地测试我的代码)。
现在最大的问题是我的Android客户端是否可以直接使用使用OpenSSL SRP库API的服务器?如果没有保证,那么我是否需要为Android(https://wiki.openssl.org/index.php/Android)构建OpenSSL源代码才能使用OpenSSL SRP API?
答案 0 :(得分:1)
现在最大的问题是我的[RFC 2945] Android客户端是否可以直接使用使用OpenSSL SRP库API的服务器?
没有。 OpenSSL使用来自Changes between 1.0.0h and 1.0.1 [14 Mar 2012]的SRP-6。 SRP-6可以阻止SRP-3中出现的几次攻击,就像2对1的猜测攻击一样。 v6修复程序与v3不兼容。
另请参阅标题fiddle下的OpenSSL CHANGE LOG:
*)使TLS-SRP代码符合RFC 5054 API清理
(删除不必要的代码)
[Peter Sylvester< peter.sylvester@edelweb.fr>]