Considera l'app usando HMAC-SHA2, con una chiave simmetrica precondivisa in modo sicuro. Anche i nonce di messaggi scambiati sono considerati segreti?
O in altre parole, la sua facile prevedibilità o anche la sua vera e propria conoscenza (testo in chiaro) di nonce per l'hacker compromette / riduce la sicurezza HMAC?
Alcune fonti suggeriscono di utilizzare PRNG crittograficamente sicuro per la generazione nonce come se l'algoritmo / seme PRNG fosse parte del segreto preshared che mi confonde.