Contraseña remota segura (SRP) en términos sencillos

Question

Actualmente estoy trabajando en un proyecto que implica autenticar usuarios de forma segura. He estado leyendo mucho sobre SRP, y todavía no he logrado entender mis conceptos básicos. Le agradecería que me explicara la idea y la implementación de SRP en términos sencillos.

Nota: No publique enlaces a sitios web sobre SRP, ya que estoy seguro de que he buscado en Google y leído la mayoría de ellos; a menos que sea un documento que explique SRP en un lenguaje lúcido.

Answer 1

Comience con que ambas partes ya hayan acordado una contraseña.

En la primera parte del protocolo, ambos lados generan un número aleatorio y utilizan algunas matemáticas claras que implican eso y la contraseña para acordar un secreto compartido aleatorio. Esto se hace de tal manera que cada vez es diferente (aunque la contraseña sea la misma), nadie que escuche por el cable puede determinar el secreto compartido, y solo funciona si ambas partes conocen la contraseña. (Las matemáticas involucradas se basan en el problema del logaritmo discreto, estrechamente relacionado con Diffie-Hellman).

Las partes luego se comprueban mutuamente que ambos han acordado el mismo secreto compartido (es decir, ambos conocen la contraseña), nuevamente sin revelarlo a nadie que esté escuchando. Esto requiere más (diferente) matemática ordenada.

Siempre que ambas partes estén satisfechas de que tienen el mismo secreto compartido, pueden derivar las claves de sesión de él y comenzar a comunicarse con su elección de cifrado.