Escribí un cliente y un servidor de prueba utilizando la biblioteca Cyrus SASL y lo estoy obligando manualmente a seleccionar GSSAPI como mecanismo. Durante la depuración, imprimí la suma md5 de cada mensaje a medida que pasaba entre los dos. Noté que la secuencia parece ser la misma cada vez que me conecto. Es decir, si la secuencia de mensajes en la primera negociación fue clientMessage1, serverResponse1, clientMessage2, etc... para una autenticación exitosa, si luego reinicio mi cliente, se repite la misma secuencia clientMessage1, serverResponse2, clientMessage2, etc...
Me parece que sería un problema de seguridad. ¿Es este el comportamiento correcto? De ser así, ¿debería incluir estas comunicaciones en TLS o algo así?
Respuesta1
GSSAPI puede utilizar cualquier número de protocolos subyacentes. Sin embargo, tienes razón, podría ocurrir un ataque de repetición si repite los mismos mensajes.
¿Sabe qué protocolo de bajo nivel se utilizó en GSSAPI?