Nueva autenticación de usuario para evitar que el hombre se comprometa en el medio

0

Sobre la creación de una nueva cuenta en esquemas de "cifrado de conocimiento cero" cliente-servidor

Client requests a nonce by sending new username
Server sends client a random nonce if username is available.
Client generates new RSA key pair.
Client signs nonce with private key.
Client sends singed nonce AND public key AND clear text username.
Server verifies nonce using public key.

¿Esto excluye al hombre en los ataques medios?

A primera vista, el servidor debe confiar en todo lo que envíe el 'cliente', pero solo el cliente original pudo haber firmado el contrato con su propia clave privada. Entonces, ¿la clave pública enviada por el cliente también puede ser confiable?

¿Es esto cierto?

    
pregunta dave.zap 02.11.2016 - 21:14
fuente

1 respuesta

1

¿Qué quieres lograr con este sistema? En primer lugar, el atacante puede generar su propio par de claves. Pero ¿por qué querría el atacante hacer eso? En el proceso de creación de una nueva cuenta, el atacante querría obtener el nombre de usuario y la contraseña. Interrumpir la comunicación entre el servidor y el cliente al reemplazar la clave pública del cliente con la suya no tiene ningún sentido.

Segundo, incluso si el atacante simplemente escucha el tráfico, obtendrá la clave pública del Cliente. Ahora, la próxima vez que el Cliente envíe algo al servidor (¿quizás una contraseña?) Al cifrarlo con una clave privada, el atacante podrá descifrarlo con la clave pública.

    
respondido por el PrashantKumar96 03.11.2016 - 10:54
fuente

Lea otras preguntas en las etiquetas