Упражнение в криптографии

[coolwolf0]

Я тут потихоньку ваяю код для полноценного аггрегатора RSS, чтоб базировался на вебе, с мордой от Bootstrap. Мой древний самопал бежит строго на локальной машине, а это бардак и каменный век с точки зрения доступа. Про внешнее оформление в стиле Веб-1.0 вообще молчу

Comments

[the_drmad]

Только это у тебя не salt, а nonce.
Если я правильно тебя понял, сначала ты (клиент) шлешь на сервер challenge, он тебе в ответ шлет nonce, а ты ему (checksum xor nonce)? Если хацкер сидит как mitm, то он перехватывает и то и другое, значит просто checksum = (checksum xor nonce) xor nonce, и чексумма у него в кармане. Дальше он может воспроизвести в следующий раз твой протокол, а если ему скучно и делать нефига, то может и при помощи радужных таблиц восстановить по чексумме твой пароль. Если я правильно тебя понял, ты пытался упростить CHAP, избавившись от промежуточного шифрования и заменив его на xor? Не, лучше уж оставить идею алгоритма в полном объеме.

[coolwolf0]

Вах, какой-такой XOR?
1. Получаю юзернейм и пароль на стороне браузера
2. Посылаю юзернейм на сервер и в ответ получаю одноразовый ключик
3. Браузер считает MD5 пароля, конкатенирует к нему ключик и строит из этого новый MD5
4. Браузер послылает полученный MD5 на сервер
5. Сервер конкатенирует тот же ключик к своему сохранённому MD5 от оригинального пароля, строит из этой комбинации MD5 и сравнивает с полученным из браузера

Хакер не может ничего восстановить - чексум невозможно реверсить напрямую

[the_drmad]

Про "строит из этого новый MD5" я сперва не вкурил. Оказывается, у тебя получилось что-то вроде имитовставки с хешированием вместо шифрования. Тогда вроде ниче, покатит.

[coolwolf0]

Я-я, натюрлих