Sto prendendo questo esempio di autenticazione reciproca da Wikipedia:
Server sends a unique challenge value sc to the client
Client generates unique challenge value cc
Client computes cr = hash(cc + sc + secret)
Client sends cr and cc to the server
Server calculates the expected value of cr and ensures the client responded correctly
Server computes sr = hash(sc + cc + secret)
Server sends sr
Client calculates the expected value of sr and ensures the server responded correctly
where
sc is the server generated challenge
cc is the client generated challenge
cr is the client response
sr is the server response
Sto cercando di vedere se c'è un possibile problema di sicurezza qui. Supponendo che stiamo usando una strong funzione di hash e una chiave simmetrica AES, pensi che esista un difetto di sicurezza qui?