[Users-es] Re: HttpDigest no seguro

[Jesus Rodriguez]

Hola David,


>> Nop, yo en el e-Verano les hice una mini-demo de claves
>> "super-seguras". Le puse a un telefono de clave 1234, capture un
>> REGISTER con sipdump (que tiene el texto del desafio y la  
>> respuesta) y
>> sipcrack tardó menos de 1 segundo en decirme la clave (haciendo  
>> ataque
>> con diccionario).
>>
>> No soy un expero, pero aunque no esta la contraseña, esta todo lo que
>> necesitas saber... o eso creo.
>>
> La contraseña efectivamente no va ahi, pero no es tan sencillo el  
> asunto.
> (Espero ser lo menos impreciso posible, aunque se aceptaran todas  
> las correcciones de los RFC readers que hay por aquí :P)
> En el mecanismo de desafió/respuesta, lo que el Registar envía al  
> UA es un desafió que incluye entre otras cosas una marca de tiempo  
> para que el desafió tenga un periodo de caducidad, el UA al recibir  
> ese reto une su contraseña a ese reto y la "hashea"normalmente con  
> MD5 (el cual tiene colisiones, al igual que todos los mecanismos de  
> HASH) y eso conforma la respuesta al reto que es o que sera enviado  
> (con lo cual, la contraseña nunca viaja a través de la red, en un  
> mecanismo de registro o en un invite). En todo caso, ese hash  
> (respuesta) llega al registar y es el que conociendo el reto y la  
> contraseña aplica el mismo mecanismo que el cliente para crear la  
> respuesta y si su respuesta y la del cliente coinciden es entonces  
> cuando tomo la autenticación como correcta.


Genial y, sobre todo, sencilla explicación! :-)


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------