个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
服务器和客户端都是可信的(都在用户的电脑上运行)。受信任的用户在他们的计算机上和客户端上都有一个 secret key 。该算法的目标是在不将 key 暴露给服务器的情况下,将可信用户验证为服务器上的可信用户。
我们使用的语言 (Game Maker) 既不快速也不精确。我们已经准备好实现 MD5 哈希,但我和团队都没有能力/有时间实现非常困难的加密算法。
最佳答案
您可以仅使用 MD5 为每个服务器生成一个 secret 。我不确定这是否正确,所以不要相信我的话。
每个服务器都有一个唯一的 ID,可以是公开的,还有一个等于 MD5(trusted secret + unique ID) 或类似的本地 secret 。您必须通过一些外部安全通道将本地 secret 获取到服务器上,但是例如,如果它是通过 HTTPS 从单个公司站点与服务器代码一起下载的,并且如果您确保您永远不会发送本地 secret 给定的唯一 ID 不止一次,那么我认为没问题。
然后服务器可以将其 ID 连同服务器 ID 一起发送给客户端。受信任的客户端可以为自己生成MD5(trusted secret + unique ID),但不受信任的客户端不能生成它。这为服务器和受信任的客户端提供了一个共享 secret ,可用于使用(例如)HMAC-MD5 进行身份验证。
如果本地 secret 泄露,那么它只会让不受信任的客户端能够欺骗该泄漏的服务器,而不是其他服务器。
显然这有弱点——例如,服务器和可信客户端之间的 MITM 可以在不知道任何 secret 的情况下对服务器提出的任何挑战提供正确的响应。但它不会将客户端的 secret 暴露给服务器,也不会将服务器的 secret 暴露给客户端,所以总比没有好。
它也有加密弱点——MD5 有点破损。如果我是服务器并且我可以找到 x 使得 MD5(x + my_id) == my_secret,那么 x 很可能是 key 。我不知道在给定一个或多个本地 secret 的情况下找到 x 在计算上有多可行:这取决于 MD5 当前的破损程度。
我认为鉴于您的限制,MITM 是绝对不可避免的,尽管我可能是错的。受信任的客户端无法区分一个服务器与另一个服务器,特别是服务器是否正在使用其正确的唯一 ID,因此将始终对 MITM 传递的任何挑战给出正确的响应。但是,如果消息包含一些攻击者无法控制的值,例如服务器生成的随机数或日期,那么简单的窃听不会导致重放攻击。我不知道有什么方法可以在不使用非对称加密和 PKI 的情况下防止 MITM,也就是说,您没有时间/能力用您的语言实现不同的基本加密构建 block 。
可以让系统提供某种类型的 key 撤销。如果你设置你的公司权限来根据需要分发成对的(random server ID, local secret),那么服务器可以不时地更新他们的本地 secret (同时改变他们的ID ).然后,您可以更改受信任的 key ,服务器将停止对使用旧 key 的客户端进行身份验证,并开始对使用新 key 的客户端进行身份验证,只要他们下一次获得 ID。如前所述,这是一个相当痛苦的移交,如果您在这样的方案中构建,您可能希望稍微软化它。
关于algorithm - 不可能的身份验证情况?需要算法的提示,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7793338/
25
4
0
我在一本书(Interview Question)中读到这个问题,想在这里详细讨论这个问题。请点亮它。 问题如下:- 隐私和匿名化 马萨诸塞州集团保险委员会早在 1990 年代中期就有一个绝妙的主意
我最近接受了一次面试,面试官给了我一些伪代码并提出了相关问题。不幸的是,由于准备不足,我无法回答他的问题。由于时间关系,我无法向他请教该问题的解决方案。如果有人可以指导我并帮助我理解问题,以便我可以改
这是我的代码 public int getDist(Node root, int value) { if (root == null && value !=0) return
就效率而言,Strassen 算法应该停止递归并应用乘法的最佳交叉点是多少? 我知道这与具体的实现和硬件密切相关,但对于一般情况应该有某种指南或某人的一些实验结果。 在网上搜索了一下,问了一些他们认为
我想学习一些关于分布式算法的知识,所以我正在寻找任何书籍推荐。我对理论书籍更感兴趣,因为实现只是个人喜好问题(我可能会使用 erlang(或 c#))。但另一方面,我不想对算法进行原始的数学分析。只是
我想知道你们中有多少人实现了计算机科学的“ classical algorithms ”,例如 Dijkstra's algorithm或现实世界中的数据结构(例如二叉搜索树),而不是学术项目? 当有
我正在解决旧编程竞赛中的一些示例问题。在这个问题中,我们得到了我们有多少调酒师以及他们知道哪些食谱的信息。制作每杯鸡尾酒需要 1 分钟,我们需要使用所有调酒师计算是否可以在 5 分钟内完成订单。 解决
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我开始学习 Nodejs,但我被困在中间的某个地方。我从 npm 安装了一个新库,它是 express -jwt ,它在运行后显示某种错误。附上代码和错误日志,请帮助我! const jwt = re
我有一个证书,其中签名算法显示“sha256rsa”,但指纹算法显示“sha1”。我的证书 SHA1/SHA2 的标识是什么? 谢谢! 最佳答案 TL;TR:签名和指纹是完全不同的东西。对于证书的强度
我目前在我的大学学习数据结构类(class),并且在之前的类(class)中做过一些算法分析,但这是我在之前的类(class)中遇到的最困难的部分。我们现在将在我的数据结构类(class)中学习算法分
有一个由 N 个 1x1 方格组成的区域,并且该区域的所有部分都是相连的(没有任何方格无法到达的方格)。 下面是一些面积的例子。 我想在这个区域中选择一些方块,并且两个相邻的方块不能一起选择(对角接触
我有一些多边形形状的点列表,我想将其包含在我页面上的 Google map 中。 我已经从原始数据中删除了尽可能多的不必要的多边形,现在我剩下大约 12 个,但它们非常详细以至于导致了问题。现在我的文
我目前正在实现 Marching Squares用于计算等高线曲线,我对此处提到的位移位的使用有疑问 Compose the 4 bits at the corners of the cell to
我正在尝试针对给定算法的约束满足问题实现此递归回溯函数: function BACKTRACKING-SEARCH(csp) returns solution/failure return R
是否有包含反函数的库? 作为项目的一部分,我目前正在研究测向算法。我正在使用巴特利特相关性。在 Bartlett 相关性中,我需要将已经是 3 次矩阵乘法(包括 Hermitian 转置)的分子除以作
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 8 年前。 Improve
问题的链接是UVA - 1394 : And There Was One . 朴素的算法是扫描整个数组并在每次迭代中标记第 k 个元素并在最后停止:这需要 O(n^2) 时间。 我搜索了一种替代算法并
COM 中创建 GUID 的函数 (CoCreateGUID) 使用“分散唯一性算法”,但我的问题是,它是什么? 谁能解释一下? 最佳答案 一种生成 ID 的方法,该 ID 具有一定的唯一性保证,而不
在做一个项目时我遇到了这个问题,我将在这个问题的实际领域之外重新措辞(我想我可以谈论烟花的口径和形状,但这会使理解更加复杂).我正在寻找一种(可能是近似的)算法来解决它。 我有 n 个不同大小的容器,
我是一名优秀的程序员,十分优秀!