Comencemos suponiendo que estamos operando en un entorno corporativo o gubernamental donde las intercepciones de SSL en el medio son un hecho y que el tráfico todo * en la red entre las El cliente y el servidor están siendo interceptados y vistos.
¿Existen esquemas de autenticación sólidos que puedan validar tanto el cliente (para el servidor) como el servidor (para el cliente)? Normalmente esto se puede lograr fácilmente mediante un esquema de autenticación de certificado SSL. Dado que estos están siendo MITM'd activamente, esta solución no es adecuada.
¿Alguna idea sobre un esquema de autenticación fuerte que permita a ambas partes autenticarse mutuamente mientras previene los ataques de repetición?
(Estoy pensando más en la línea de una aplicación web en lugar de una aplicación de escritorio)