[Users-es] Re: HttpDigest no seguro

Lukas Sky lukassky at gmail.com
Thu Aug 16 18:17:34 CEST 2007 

El jue, 16-08-2007 a las 18:06 +0200, Jesus Rodriguez escribió:
> Hola David,
> 
> 
> >> Nop, yo en el e-Verano les hice una mini-demo de claves
> >> "super-seguras". Le puse a un telefono de clave 1234, capture un
> >> REGISTER con sipdump (que tiene el texto del desafio y la  
> >> respuesta) y
> >> sipcrack tardó menos de 1 segundo en decirme la clave (haciendo  
> >> ataque
> >> con diccionario).
> >>
> >> No soy un expero, pero aunque no esta la contraseña, esta todo lo que
> >> necesitas saber... o eso creo.
> >>
> > La contraseña efectivamente no va ahi, pero no es tan sencillo el  
> > asunto.
> > (Espero ser lo menos impreciso posible, aunque se aceptaran todas  
> > las correcciones de los RFC readers que hay por aquí :P)
> > En el mecanismo de desafió/respuesta, lo que el Registar envía al  
> > UA es un desafió que incluye entre otras cosas una marca de tiempo  
> > para que el desafió tenga un periodo de caducidad, el UA al recibir  
> > ese reto une su contraseña a ese reto y la "hashea"normalmente con  
> > MD5 (el cual tiene colisiones, al igual que todos los mecanismos de  
> > HASH) y eso conforma la respuesta al reto que es o que sera enviado  
> > (con lo cual, la contraseña nunca viaja a través de la red, en un  
> > mecanismo de registro o en un invite). En todo caso, ese hash  
> > (respuesta) llega al registar y es el que conociendo el reto y la  
> > contraseña aplica el mismo mecanismo que el cliente para crear la  
> > respuesta y si su respuesta y la del cliente coinciden es entonces  
> > cuando tomo la autenticación como correcta.
> 
> 
> Genial y, sobre todo, sencilla explicación! :-)
Será pa ti...pq yo no me enteré de nada XD
> 
> 
> Saludos
> JesusR.
> 
> ------------------------------------
> Jesus Rodriguez
> VozTelecom Sistemas, S.L.
> jesusr at voztele.com
> http://www.voztele.com
> Tel. 902360305
> -------------------------------------
> 
> 
> 
> 
> 
> _______________________________________________
> Users-es mailing list
> Users-es at openser.org
> http://openser.org/cgi-bin/mailman/listinfo/users-es

More information about the Users-es mailing list