Только это у тебя не salt, а nonce. Если я правильно тебя понял, сначала ты (клиент) шлешь на сервер challenge, он тебе в ответ шлет nonce, а ты ему (checksum xor nonce)? Если хацкер сидит как mitm, то он перехватывает и то и другое, значит просто checksum = (checksum xor nonce) xor nonce, и чексумма у него в кармане. Дальше он может воспроизвести в следующий раз твой протокол, а если ему скучно и делать нефига, то может и при помощи радужных таблиц восстановить по чексумме твой пароль. Если я правильно тебя понял, ты пытался упростить CHAP, избавившись от промежуточного шифрования и заменив его на xor? Не, лучше уж оставить идею алгоритма в полном объеме.
no subject
Если я правильно тебя понял, сначала ты (клиент) шлешь на сервер challenge, он тебе в ответ шлет nonce, а ты ему (checksum xor nonce)? Если хацкер сидит как mitm, то он перехватывает и то и другое, значит просто checksum = (checksum xor nonce) xor nonce, и чексумма у него в кармане. Дальше он может воспроизвести в следующий раз твой протокол, а если ему скучно и делать нефига, то может и при помощи радужных таблиц восстановить по чексумме твой пароль. Если я правильно тебя понял, ты пытался упростить CHAP, избавившись от промежуточного шифрования и заменив его на xor? Не, лучше уж оставить идею алгоритма в полном объеме.