Mật khẩu từ xa an toàn (SRP) theo các điều khoản của người cư trú

Question

Tôi hiện đang làm việc trên một dự án liên quan đến việc xác thực người dùng một cách an toàn. Tôi đã đọc về SRP rất nhiều, và vẫn chưa quản lý được các khái niệm cốt lõi của mình. Tôi sẽ biết ơn nếu bạn có thể giải thích ý tưởng, và thực hiện SRP trong thuật ngữ laymen.

Lưu ý: Vui lòng không đăng liên kết tới trang web về SRP, vì tôi chắc chắn tôi đã googled và đọc hầu hết trong số chúng; trừ khi đó là một bài báo giải thích SRP bằng một ngôn ngữ sáng suốt.

Answer 1

Bắt đầu với cả hai bên đã đồng ý mật khẩu.

Trong phần đầu của giao thức, cả hai bên tạo số ngẫu nhiên và sử dụng một số toán học gọn gàng liên quan đến điều đó và mật khẩu để đồng ý một bí mật được chia sẻ ngẫu nhiên. Điều này được thực hiện theo cách mà nó khác nhau mỗi lần (mặc dù mật khẩu giống nhau), không ai nghe trên dây có thể xác định bí mật được chia sẻ, và nó chỉ hoạt động nếu cả hai bên đều biết mật khẩu. (Các môn toán liên quan dựa trên vấn đề logarit rời rạc, liên quan chặt chẽ với Diffie-Hellman.)

Các bên sau đó chứng minh với nhau rằng cả hai đều đồng ý cùng một bí mật chia sẻ (nghĩa là cả hai đều biết mật khẩu), một lần nữa mà không tiết lộ cho bất kỳ ai nghe. Điều này đòi hỏi nhiều hơn (khác nhau) toán học gọn gàng.

Cả hai bên đều hài lòng rằng họ có cùng một bí mật được chia sẻ, sau đó họ có thể lấy được khóa phiên từ nó và bắt đầu giao tiếp theo sự lựa chọn của họ về mật mã.