Escrevi um cliente e servidor de teste usando a biblioteca Cyrus SASL e estou forçando-o manualmente a selecionar GSSAPI como mecanismo. Durante a depuração, imprimi o md5sum de cada mensagem conforme ela foi passada entre as duas. Percebi que a sequência parece ser a mesma sempre que me conecto. Ou seja, se a sequência de mensagens na primeira negociação foi clientMessage1, serverResponse1, clientMessage2, etc... para autenticação bem-sucedida, se eu então reiniciar meu cliente, a mesma sequência clientMessage1, serverResponse2, clientMessage2, etc... será repetida.
Parece-me que seria uma preocupação de segurança. Este é o comportamento correto e, em caso afirmativo, devo agrupar essas comunicações em TLS ou algo assim?
Responder1
GSSAPI pode usar qualquer número de protocolos subjacentes. No entanto, você está certo, um ataque de repetição pode acontecer se repetir as mesmas mensagens.
Você sabe qual protocolo de baixo nível foi usado no GSSAPI?