实施SCRAM - 随机数验证和服务器/客户端密钥

Question

技术上有两个问题 - 但它们之间的关系如此密切，我不想将它们分开;但如果社区觉得我应该，我会的。

继recent question我正在为网站登录和Web服务API实施SCRAM。客户端环境将是.Net和Javascript（将来可能会有Java）。

我的第一个问题是基本的：The protocol utilises a client and server key作为身份验证过程中的关键步骤;然而为了验证，两者都需要事先被双方知道，因为协议不允许交换这些信息（这样做会导致一些鸡鸡和鸡蛋的情况）。例如，如果您考虑一个Javascript客户端，这意味着这两个键都可能是在源代码中定义的常量 - 这使得它们易于获取。所以：为什么要麻烦？仅仅是为了减轻'Eve'，因为某些原因，'Eve'没有打扰到JS或客户端源代码，而这些源代码必须公开！？其次，像其他任何认证机制一样，它需要客户端+服务器随机数。

鉴于认证随机数，按照定义，不应该（同一用户至少）使用一次以上，这大概意味着服务器必须维护所有用户使用的所有现时值的记录永远 。与我们经常存档的其他数据不同，这样的表格只会变得越来越大，查询反而会变得越来越慢！

如果这是正确的，那么实施这个或几乎任何其他认证机制在技术上是不可行的！因为我知道这显然是荒谬的;在合理的时间范围内定义一些额外的范围也是常见的。

与认证和加密一样，尽管是一位非常有经验的软件开发人员，我觉得我要回到学校了！我错过了什么！？

Answer 1

都需要由双方 提前知道，因为协议不 允许这些交换（这样做 会导致有点鸡和蛋 情景）。

是的，这是正确的。挑战反应不是密钥交换协议。它只是规范，一旦客户端和服务器共享一个密钥，如何通过该密钥计算出相同的值，而不通过网络传输清除密钥。

如果你考虑一个JavaScript客户端， 例如，这意味着这两个键是 可能是在 源定义的常量 - 从而使它们很容易 获取。

这不是一个好主意。或者客户和服务器可以在初步注册过程中就密钥达成一致。

鉴于认证随机数， 按照定义，不应该（由同一 用户至少）使用超过一次 多，这大概意味着一个 服务器必须维护所有 现时值的记录所有用户永远使用 。

NO。应使用伪随机数生成为每个新会话生成一个新的随机数。无论如何，如果攻击者不知道它是否已被使用，那么无论如何都会得到相同的nonce，这是非常不可能的。