Authentication

如果您不將其用作隨機數,那麼使用加密序列號有什麼意義?

  • January 10, 2020

然而, OSPF 具有使用的特點Auth Crypto Sequence Number,從閱讀 RFC 來看,序列號似乎沒有被用作隨機數。

此外,每個 OSPF 協議數據包中都包含一個不遞減的序列號,以防止重放攻擊。這提供了長期保護;但是,在序列號改變之前,仍然可以重放 OSPF 數據包。- OSPF MD5 認證草案 II

如果我錯了,請糾正我,但加密序列號的重點不是防止重放攻擊嗎?如果是這樣,你為什麼不使用隨機數?這有什麼好處嗎?或者這只是一個從未改進過的弱點?

我也在努力區分“從長遠來看不是一個問題”——這有什麼意義?

序列號不是為加密目的而設計的,只是為了減輕病態的路由錯誤。根據RFC 6863 § 3,序列號不能防止會話內的重放攻擊,也不能防止對後續會話的重放攻擊:

如前所述,兩個版本的 OSPF 都不滿足互連或內部連接重放保護的要求。為了安裝重放,攻擊者需要某種機制來注入數據包。物理安全可以限制特定部署對重放攻擊的脆弱性。本節討論 OSPF 重放的影響。

序列號本身是任意的,只要它不遞減即可。具體來說,如果該消息的序列號小於前一條消息的序列號,則該消息將被丟棄。因此,該數字可以是任何東西,從遞增的計數器值到創建數據包時的高精度時間戳。請注意,關閉的主機會將數字重置為零,因此攻擊者可以僅通過 DoSing 路由器之一來強制序列重複。

引用自:https://crypto.stackexchange.com/questions/60207