Привет, дорогой читатель!
Зарегистрируйтесь и получите доступ к бесплатному контенту. А также будьте в курсе нового учебного контента. Ссылка на учебную платформу:
Если материал полезен, то есть способ отблагодарить меня. Любая сумма будет отличной наградой и стимулом писать полезный контент для Вас.
Как безопасно осуществить процедуру аутентификации, не применяя шифрования?
Для этого используются nonce числа - «number that can only be used once» - числа, которые могут быть использованы один раз). В криптографии – одноразовые коды, формируемые случайным или псевдослучайным образом.
На рисунке изображена процедура:
Cnonce – одноразовый код (число) сгенерированное клиентом для данной сессии. Получив от сервера его одноразовый код – nonce, клиент вычисляет хеш от конкатенированной сроки nonce+cnonce+password и отправляет серверу логин, cnonce и хеш. Сервер находит в базе пароль для указанного логина, производит конкатенацию с полученным cnonce и его же nonce числом, вычисляет хеш и производит сравнение результата с полученным от клиента хешем. Если равенство выполняется, то клиент проходи операцию аутентификации. Магия) Для безопасной процедуры аутентификации не понадобилось шифрование. Достаточно было применить хеширование. Если не читали про хеширование, то вот моя статья на эту тему.
Nonce числа также используются при установлении TLS сессии (стандарт де-факто обеспечения безопасности транспортного уровня для http траффика). Если вы трудитесь в сфере IT, то важно понимать основы данного протокола! В ближайшей перспективе постараюсь изложить основы работы TLS протокола.
Если понравилось - ставьте лайки, делитесь с друзьями, коллегами в соцсетях.
До скорого!
