http://the-drmad.livejournal.com/ ([identity profile] the-drmad.livejournal.com) wrote in [personal profile] coolwolf0 2022-02-13 07:58 am (UTC)

Только это у тебя не salt, а nonce.
Если я правильно тебя понял, сначала ты (клиент) шлешь на сервер challenge, он тебе в ответ шлет nonce, а ты ему (checksum xor nonce)? Если хацкер сидит как mitm, то он перехватывает и то и другое, значит просто checksum = (checksum xor nonce) xor nonce, и чексумма у него в кармане. Дальше он может воспроизвести в следующий раз твой протокол, а если ему скучно и делать нефига, то может и при помощи радужных таблиц восстановить по чексумме твой пароль. Если я правильно тебя понял, ты пытался упростить CHAP, избавившись от промежуточного шифрования и заменив его на xor? Не, лучше уж оставить идею алгоритма в полном объеме.

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting