Tại sao OAuth 1.0a yêu cầu các nonce ngẫu nhiên và chúng nên ngẫu nhiên như thế nào?

gaazkam

11:20, 10/05/2023

Các yêu cầu của một nonce là gì? <- Thông thường, chỉ yêu cầu một nonce là duy nhất, tuy nhiên, trong một số trường hợp nhất định, các yêu cầu khắc nghiệt hơn (chẳng hạn như tính ngẫu nhiên và không thể đoán trước) được đưa ra.

Đặc tả OAuth 1.0a nói rằng:

Một nonce là một chuỗi ngẫu nhiên, được tạo bởi khách hàng để cho phép máy chủ để xác minh rằng một yêu cầu chưa bao giờ được thực hiện trước đó và giúp ngăn chặn các cuộc tấn công phát lại khi các yêu cầu được thực hiện qua một mạng không an toàn kênh. Giá trị nonce PHẢI là duy nhất trên tất cả các yêu cầu với cùng dấu thời gian, thông tin đăng nhập của khách hàng và kết hợp mã thông báo.

Tại sao OAuth 1.0a yêu cầu tính ngẫu nhiên?

Ngoài ra, tôi thấy ngạc nhiên khi thông số kỹ thuật nói 'ngẫu nhiên' mà không yêu cầu rõ ràng tính ngẫu nhiên an toàn bằng mật mã. Điều gì có thể là lợi ích của một nonce ngẫu nhiên ngẫu nhiên, nhưng không an toàn bằng mật mã? Tôi cho rằng tôi nên hiểu rằng yêu cầu về tính ngẫu nhiên được bảo mật bằng mật mã được ngụ ý ở đây?

0 + 0

nonce

Maarten Bodewes

16:45, 10/05/2023

OAuth về cơ bản xác định một khuôn khổ về cách thiết lập mã thông báo xác thực. Nó không đi sâu vào bảo mật gì cả. Khung xác thực là an toàn, nhưng chỉ khi nó được cấu hình đúng cách. Đối với OAuth 2, có một RFC riêng với các yêu cầu bảo mật, điều này rất cần thiết. Thật kỳ lạ, OAuth 1 chỉ định các yêu cầu đối với các bí mật được sử dụng. RNG ngẫu nhiên không an toàn có thể không được tạo đúng cách (điều này có thể không phải là vấn đề lớn nếu RNG luôn được bắt đầu bằng dấu thời gian mới) và chúng rất nhanh, nhưng tôi sẽ sử dụng một nonce lớn từ CSPRNG được tạo tốt dù sao.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why does OAuth 1.0a require random nonces and how random should they be?

TH: เหตุใด OAuth 1.0a จึงต้องการ nonce แบบสุ่ม และควรสุ่มอย่างไร

RO: De ce OAuth 1.0a necesită non-uri aleatorii și cât de aleatorii ar trebui să fie?

RU: Почему OAuth 1.0a требует случайных одноразовых номеров и насколько они должны быть случайными?

VI: Tại sao OAuth 1.0a yêu cầu các nonce ngẫu nhiên và chúng nên ngẫu nhiên như thế nào?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.