C
Ключ и не нужен
Size: a a a
2019 November 25
C
У тебя много агентов вообще?
WS
У тебя много агентов вообще?
Да пока нет, меньше 100 - типа, перебор можно делать...
C
Тогда простейший вариант
C
Отправляешь рандомную строку, к ней приклеиваешь имитовставку. На другой стороне проверяешь по базе секретов которые есть
C
Вот тебе и идентификация и аутентификация, в одном флаконе
C
Только хэш-функцию по злее выбери, чтобы перебор был не очень быстрым, либо секреты подлиннее
WS
Да, звучит жизнеспособно
C
+ Если человек не знает алгоритм проверки, то для него это будет выглядеть как передача просто рандомной строки фиксированной длины
WS
Интересно, почему в OTP не используется именно такая схема? А есть связь между сгенереными паролями или синк по времени..
C
Конкретно для этой схемы?
WS
Хотя HOTP как раз похож, только у них счётчик вместо рандома
WS
Чтобы рандомное число не передавать видимо... Только хэш
C
Ну да, хотя это и не усложнит перебор особо, если числа инкрементируются
C
А если рандом с сидом, то секретом является сид и безопасность по большому счету зависит от его длины и длины секрета
C
Как по мне это только усложняет все
WS
Как по мне это только усложняет все
Хм, счётчик таки нужен чтобы от реплеев защищаться видимо
C
Блин, про реплаи вылетело из головы
C
Но ты можешь рандомную строку генерировать на одном хосте, передавать другому, который уже вернет MAC
C
Как, собственно я предлагал делать с ЭЦП