ノンスとクライアントノンスは、どのようにして再生を防止しますか？

Question

ノンスとクライアントナンスがレインボーテーブルなどを介してパスワード攻撃を防止する方法を理解していますが、リプレイ攻撃の防止に役立つ方法については明確ではありません。誰かが私にこれを理解させるのを助けることができるか

Answer 1

おそらく、リプレイアタックの定義を知っているので、リプレイアタックがどのように実行されたかの例と、ノンスを使用しないようにする方法を例に説明します。

リプレイアタックはどのように実行されましたか？

1. ユーザーアリスはwww.iBuy.comから何かを購入したいと考えていますが、www.iBuy.comはアリスが彼女の身元を証明したいと考えています。
2. アリスは自分の身元を証明するために、Hashed [Credentials]をwww.iBuy.comに送り、アリスを検証して自分のウェブサイトに受け入れます。
3. アリスは彼女の必要なアイテムを注文し、彼女の居住用住所に出荷するよう要求します。
4. 一方、アリスとwww.iBuy.comとの間の通信セッションは、悪意のあるユーザーBobによって盗聴され、アリスのHashed [Credentials]が通信チャネルセッションから取り出されました。
5. アリスとwww.iBuy.comの通信セッションが終了すると、ボブはwww.iBuy.comに接続し、アリスのHashed [Credentials]（ステップ4から取得）を送信して、アリスのアイデンティティを証明し、ボブのアイデンティティをwww.iBuy.comに証明しません。 www.iBuy.comが受け入れ、BobがAliceとしてwww.iBuy.comに入ることを許可します。
6. 次に、ボブは、アリスの注文商品の発送先住所を彼の住所に変更します。今アイテムは、アリスの住所ではなく、ボブの住宅住所に発送されます。

ので、

• ボブがアリスのHashed [Credentials]（STEP4から）を保有し、はアクションを再生し、それはアリスがHashed [Credentials]を提出するものです考えてwww.iBuy.comにアリスのHashed [Credentials]を提出しかし、実際にボブはアリスのHashed [Credentials]を再生しました。

ノンスを使ってリプレイ攻撃を防止する方法は？

www.iBuy.comはHashed [Credentials + non-repetitive Nonce sent by www.iBuy.com to Alice's cell-phone]を送信するためにアリスが必要な場合は、ボブが取り出さ、盗聴やハッシュ値を再生していてもnonceがにwww.iBuy.comによって送信されたので、次に、www.iBuy.comは、要求を拒否アリスの携帯電話は今や異なっており、その後ハッシュ値も異なっています。ハッシュ値はwww.iBay.comの期待値ではありません。