关于loginserver模板的问题 #1335

donneyluckS · 2021-01-27T09:44:52Z

最近在学习skynet
学习到了dh算法了解到中间人攻击
请问这个登录流程中是怎么防范中间人攻击的呢？
我理解的好像并没有防范住
麻烦请大佬解答一下不甚感谢

firedtoad · 2021-01-27T12:20:35Z

challange 这一步骤被你吃了么？？ donneyluck <notifications@github.com> 于2021年1月27日周三下午5:45写道：

[image: image] <https://user-images.githubusercontent.com/60682638/105972838-fe3af580-60c6-11eb-9513-e28799be00d1.png> 最近在学习skynet 学习到了dh算法了解到中间人攻击请问这个登录流程中是怎么防范中间人攻击的呢？我理解的好像并没有防范住麻烦请大佬解答一下不甚感谢 — You are receiving this because you are subscribed to this thread. Reply to this email directly, view it on GitHub <#1335>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AAK6QJXVQFDZJTWGP23CTPDS37ODDANCNFSM4WU6IISA> .

donneyluckS · 2021-01-27T23:31:36Z

challange 这一步骤被你吃了么？？ donneyluck notifications@github.com 于2021年1月27日周三下午5:45写道：
…

challange 不是一样会被中间人拿到吗？
那第4步校验的时候中间人拿跟服务器产生的密钥加密challange 不就可以验证通过

cloudwu · 2021-01-28T00:13:27Z

防范中间人攻击一般需要一个中间可信机构（签发证书），这里没有。

但是有另外一个简单的方法，就是依赖一个两边都知道，中间人不知道的秘密。比如用户自己设定的密码（加盐 hash 过）

这里的模版没这么做是因为这个模版假设真正的认证不在这里，也就是登录服务并不知道密码这个秘密。

但你可以自己简单扩展后续：登录服务给你的是一个 key 用于加密，你可以用这个 key 混入密码 hash 得到新 key 。因为密码并没有在网络传输，所以中间人不知道；但服务器依然可以做一样的操作。

firedtoad · 2021-01-28T02:08:17Z

第四步中间人不知道计算 hmac 使用的额外参数无法计算出正确的challange
换句话说计算hmac不一定要用 sharesecret

donneyluckS · 2021-01-28T02:48:24Z

第四步中间人不知道计算 hmac 使用的额外参数无法计算出正确的challange

换句话说计算hmac不一定要用 sharesecret

明白两位大佬的意思了
还是需要一个客户端和服务器约定好的额外参数来做校验
那么这个登陆流程中的dh加密意义是什么？后续加密用吗？那为何不用其他方式加密一步到位（反正会用对称加密或者 rsa）或者说选用dh加密有什么优势吗？麻烦解答一下懂得不多见谅

firedtoad · 2021-01-28T03:15:36Z

这个方案几乎是在uint64范围内交换秘钥的最小代价的最优方案了其他方案你打算用多长的秘钥并且方便集成在lua里虽然现在标准建议最少应该使用3des 才能保证加密强度,这里是做游戏，不是做银行转账 3des使用的秘钥长度以及执行效率集成在lua里代价有点大参考链接 https://csrc.nist.gov/projects/cryptographic-standards-and-guidelines donneyluck <notifications@github.com> 于2021年1月28日周四上午10:48写道：

…

第四步中间人不知道计算 hmac 使用的额外参数无法计算出正确的challange 换句话说计算hmac不一定要用 sharesecret 明白两位大佬的意思了还是需要一个客户端和服务器约定好的额外参数来做校验那么这个登陆流程中的dh加密意义什么？（反正会用对称加密或者 rsa）麻烦解答一下懂得不多见谅 — You are receiving this because you commented. Reply to this email directly, view it on GitHub <#1335 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AAK6QJWRLEU4K5CMM7QQQ63S4DGALANCNFSM4WU6IISA> .

cloudwu · 2021-01-28T05:05:17Z

DH 交换秘密是为了做到一次一密，这样不会因为后来的泄密导致前面的加密全部被解密。DH 交换不解决中间人攻击问题。中间人攻击是个独立需要解决的问题。

简单说就是：你不可以把所有安全问题都依赖在同一个东西（比如单个共享秘密/用户密码）上面。这个道理在很多方面都成立。例如，如果你想保存密码让用户下次不用输入密码登录。那么你不应该把密码保存在本地，而应该保存一个一次性认证 token 在本地，让这个 token 得到用户密码的授权。

cloudwu closed this as completed Jan 28, 2021

Repository owner locked and limited conversation to collaborators Jan 28, 2021

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

This issue was moved to a discussion.

关于loginserver模板的问题 #1335

关于loginserver模板的问题 #1335

donneyluckS commented Jan 27, 2021 •

edited

Loading

firedtoad commented Jan 27, 2021 via email

donneyluckS commented Jan 27, 2021 •

edited

Loading

cloudwu commented Jan 28, 2021

firedtoad commented Jan 28, 2021 •

edited

Loading

donneyluckS commented Jan 28, 2021 •

edited

Loading

firedtoad commented Jan 28, 2021 via email

cloudwu commented Jan 28, 2021

This issue was moved to a discussion.

This issue was moved to a discussion.

关于loginserver模板的问题 #1335

关于loginserver模板的问题 #1335

Comments

donneyluckS commented Jan 27, 2021 • edited Loading

firedtoad commented Jan 27, 2021 via email

donneyluckS commented Jan 27, 2021 • edited Loading

cloudwu commented Jan 28, 2021

firedtoad commented Jan 28, 2021 • edited Loading

donneyluckS commented Jan 28, 2021 • edited Loading

firedtoad commented Jan 28, 2021 via email

cloudwu commented Jan 28, 2021

This issue was moved to a discussion.

donneyluckS commented Jan 27, 2021 •

edited

Loading

donneyluckS commented Jan 27, 2021 •

edited

Loading

firedtoad commented Jan 28, 2021 •

edited

Loading

donneyluckS commented Jan 28, 2021 •

edited

Loading