Nonce è sempre +1 per ripetere l'attacco di replay?

-1

Capisco che nonce serve a impedire l'attacco di riproduzione. Posso sapere quando il server prima ha inviato nonce a te. Il cliente deve quindi procedere al +1 del nonce inviato dal server? È sempre così?

Anche nonce è costituito da timestamp + random?

    
posta Killney 09.04.2018 - 05:40
fonte

1 risposta

3

Gli spegni sono usati in una varietà di casi d'uso. Il comportamento esatto relativo a un nonce dipende dal caso d'uso esatto, ma tutti i casi d'uso condividono che un nonce dovrebbe essere usato solo una volta all'interno di un contesto specifico. Questo può essere ottenuto utilizzando numeri casuali veri, ma a seconda del caso d'uso esatto potrebbe anche essere sufficiente utilizzare un semplice contatore o un timestamp per ottenere un valore univoco all'interno di un contesto specifico.

Non sono a conoscenza di alcun caso di utilizzo in cui viene utilizzato il comportamento che descrivi, ovvero dove il client utilizza server_sent_nonce+1 . Dato che il nonce è unico in primo luogo tale operazione non dovrebbe essere necessaria. Ma non dovrebbe danneggiare neanche se applicato coerentemente da allora server_sent_nonce+1 è in realtà il nuovo nonce che è anche unico.

    
risposta data 09.04.2018 - 06:54
fonte

Leggi altre domande sui tag