從埠敲門中刪除“默默無聞的安全”

每一篇關於埠敲門的文章，例如 https://wiki.archlinux.org/index.php/Port_Knocking，都默默地聲明了這個方法是安全的。以下內容是否足以刪除該標題；

• 生成 2048 位共享密鑰的方案。密鑰的每 2 個字節被分塊以形成 128 個埠號 (2048/8/2) 的列表。然後按順序將這些埠號配置為埠敲擊序列。
• 發送方的 MAC 地址也被考慮在內（可能是密鑰的前 6 個字節）

這是否解決了埠敲門的“默默無聞的安全”方面？

我知道這是一種可嗅探的方法。感謝您的回饋意見！

埠敲門的本質 - 即在輕量級身份驗證器後面隱藏服務 - 絕對不會因默默無聞而受到安全性的影響。這實際上取決於身份驗證器的特性。在頻譜的一端，“如果先將 SYN 數據包發送到埠 12345，則打開埠 22”（晦澀 - 在這種情況下，甚至 nmap 成為合法的埠敲擊客戶端），而在頻譜的另一端是 PK大哥“單包授權”（例如可以使用 2048 位 GnuPG 密鑰和 HMAC）。fwknop SPA 實現可以做到後面：https ://www.cipherdyne.org/fwknop/ （免責聲明：我寫了 fwknop，所以我顯然有偏見，但我相信這一點仍然存在。http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

另外，Port Knocking 和 SPA 最好的參考還是 Sebastien Jeanquier 的論文《An Analysis of Port Knocking and Single Packet Authorization》：http ://www.securitygeneration.com/wp-content/uploads/2010/05/An-Analysis -of-Port-Knocking-and-Single-Packet-Authorization-Sebastien-Jeanquier.pdf

引用自：https://crypto.stackexchange.com/questions/24787