Estoy tratando de implementar el criptográfico SRP; 6a. Sin embargo, no estoy familiarizado con la criptografía y su computación. Estoy usando la implementación pública de la biblioteca BouncyCastle, pero no tengo idea de cómo funciona en realidad. Es para un servidor "privado" para un juego y ahora estoy un poco atascado.
La implementación de su propio protocolo de autenticación no es fácil y debe dejarse en manos de profesionales. Si sientes que debes escribir tu propio protocolo de seguridad, lo estás haciendo mal . Muchas otras personas tienen esta misma necesidad, y ya la han implementado para usted.
SRP no es una mala opción para la autenticación, de hecho, hay SRP-TLS , que usa SRP para crear una conexión TLS. SRP-TLS se ha implementado en OpenSSL y existen enlaces para esta biblioteca para C # .
También tenga en cuenta que la contraseña en sí no es la forma en que el cliente mantiene su estado autenticado. Por ejemplo, en una aplicación web, un usuario inicia sesión con un nombre de usuario y contraseña y recibe una cookie para autenticarse con la aplicación web. Si el atacante obtiene esta cookie, puede iniciar sesión. Para evitar esto, toda la sesión (o en su caso, todo el juego) debe estar protegida con TLS, o estará en violación de OWASP a9 y cualquiera que esté olfateando el cable puede simplemente ingresar al juego.
Lea otras preguntas en las etiquetas cryptography