Challenge-Responseプロトコルは、中間の攻撃に対してどのように役立ちますか?
https://stackoverflow.com/questions/4756270
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
Challenge-Response認証は、中間の攻撃をどのように防止しますか? Wikiの記事を読みましたが、それでも理解できません。
解決
一般に、チャレンジ応答システムは必ずしも中間の攻撃を防ぐとは限りません。アリスがボブに銀行口座番号に伝えようとしている場合、課題と対応を実装するこのプロトコルは、整合性を提供しない、またはプライバシー:
Alice: Bob, is that you? // first challenge
Bob: Yes, Alice, it is me, is that you? // first response, second challenge
Alice: Yes! Great. My account number is 314159. // second response, and result
マロリーは、アリスまたはボブの代わりに「はい」と答えることができ、3番目の「結果」メッセージを偽造するか、3番目のメッセージを聞くことができました。
課題が改善されたとしても、「ハッシュ0x31415926を共有パスワードに加えてください」のようなものになります。メッセージ認証チェックなしで送信されると、サードパーティによる変更の対象となる可能性があります。
チャレンジ/応答プロトコルが本当に輝いている場所 リプレイ 攻撃:アリスがボブに「私のアカウントを借方5ドルにして5ドルを5ドルで貸してください」という線に沿ってメッセージを送信した場合、マロリーはメッセージを録音し、 リプレイ アリスのアカウントを使い果たすためのメッセージ。
良い課題/応答システムは、すべてのトランザクションまたはセッションに新しい課題を生み出します(そして、以前の課題が再利用されないようにしてください!)。
これが役立つことを願っていますが、あなたの疑問がどこから来たのかについて、より詳細な考えがなくても、それはただのノイズになるのではないかと心配しています。
他のヒント
ユーザーサルノルド すでに提供しています 良い答え, 、次のように注意を引きたいと思います。
Challenge-Responseは2つの問題を解決します - プレーンテキストの秘密を不必要に送信し(ハッシュのような製品が送信されます)、リプレイ攻撃を防ぎます(チャレンジが毎回変化するため)。それはそれ以上のことをしません - それは誰もがそれ自体で誰にも認証するものではなく、クライアントが自分のユーザー名とパスワード(秘密)を送信し、サーバーがそれらが正しいかどうかを決定するプレーンテキストプロトコルの改善にすぎません。
したがって、真ん中にあるパーティーがある場合、それはそれを検出したり、その特定のセッションのクライアントとして成績を収めたりするのを防ぎませんが、その当事者は秘密が決して平文に送られないので、秘密にアクセスしません。パーティーは、リプレイを行うことで再びなりすますことができません - それはそのセッション中になりすましてしか働くことができません。
