16 Aug
2007
16 Aug
'07
7:06 p.m.
Hola David,
Genial y, sobre todo, sencilla explicación! :-)
Saludos
JesusR.
------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr(a)voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------
Nop, yo en el
e-Verano les hice una mini-demo de claves
"super-seguras". Le puse a un telefono de clave 1234, capture un
REGISTER con sipdump (que tiene el texto del desafio y la
respuesta) y
sipcrack tardó menos de 1 segundo en decirme la clave (haciendo
ataque
con diccionario).
No soy un expero, pero aunque no esta la contraseña, esta todo lo que
necesitas saber... o eso creo.
La contraseña efectivamente no va ahi, pero no es tan sencillo el
asunto.
(Espero ser lo menos impreciso posible, aunque se aceptaran todas
las correcciones de los RFC readers que hay por aquí :P)
En el mecanismo de desafió/respuesta, lo que el Registar envía al
UA es un desafió que incluye entre otras cosas una marca de tiempo
para que el desafió tenga un periodo de caducidad, el UA al recibir
ese reto une su contraseña a ese reto y la "hashea"normalmente con
MD5 (el cual tiene colisiones, al igual que todos los mecanismos de
HASH) y eso conforma la respuesta al reto que es o que sera enviado
(con lo cual, la contraseña nunca viaja a través de la red, en un
mecanismo de registro o en un invite). En todo caso, ese hash
(respuesta) llega al registar y es el que conociendo el reto y la
contraseña aplica el mismo mecanismo que el cliente para crear la
respuesta y si su respuesta y la del cliente coinciden es entonces
cuando tomo la autenticación como correcta.