De ce OAuth 1.0a necesită non-uri aleatorii și cât de aleatorii ar trebui să fie?

gaazkam

10.05.2023, 11:20

Care sunt cerințele unui nonce? <- De obicei, este necesar doar ca un nonce să fie unic, totuși, în anumite cazuri, sunt puse cerințe mai dure (cum ar fi aleatorietatea și imprevizibilitatea).

Specificația OAuth 1.0a afirmă că:

Un nonce este un șir aleator, generat în mod unic de client pentru a permite serverul să verifice că o solicitare nu a mai fost făcută înainte și ajută la prevenirea atacurilor de reluare atunci când solicitările sunt făcute printr-un sistem nesecurizat canal. Valoarea nonce TREBUIE să fie unică pentru toate solicitările cu aceeași marcaj de timp, acreditări ale clientului și combinații de simboluri.

De ce OAuth 1.0a necesită aleatorie?

De asemenea, mi se pare surprinzător că specificația spune „Aleatoriu' fără a necesita în mod explicit aleatoriu criptografic sigur. Care ar putea fi beneficiul unei nonce aleatorii aleatorii, dar nu sigure criptografic? Presupun că ar trebui să înțeleg că cerința de aleatorietate criptografic sigură este implicită aici?

0 + 0

nonce

Maarten Bodewes

10.05.2023, 16:45

OAuth definește practic un cadru cu privire la modul în care pot fi stabilite jetoanele de autentificare. Nu intră adânc în securitate. Cadrul de autentificare este sigur, dar numai dacă este configurat corespunzător. Pentru OAuth 2 există un RFC separat cu cerințe de securitate, care este foarte necesar. În mod ciudat, OAuth 1 specifică cerințe pentru secretele utilizate. Este posibil ca RNG-urile aleatoare nesecurizate să nu fie însămânțate în mod corespunzător (ceea ce poate să nu fie o problemă atât de mare dacă RNG-ul este întotdeauna pornit cu o ștampilă timp proaspătă) și sunt rapide, dar aș folosi un nonce mare dintr-un CSPRNG bine însămânțat. oricum.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Why does OAuth 1.0a require random nonces and how random should they be?

TH: เหตุใด OAuth 1.0a จึงต้องการ nonce แบบสุ่ม และควรสุ่มอย่างไร

RO: De ce OAuth 1.0a necesită non-uri aleatorii și cât de aleatorii ar trebui să fie?

RU: Почему OAuth 1.0a требует случайных одноразовых номеров и насколько они должны быть случайными?

VI: Tại sao OAuth 1.0a yêu cầu các nonce ngẫu nhiên và chúng nên ngẫu nhiên như thế nào?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.