web-dev-qa-db-ja.com

SIPプロバイダーは資格情報を保存しますが、一部のSIP電話に必要ですか?

私のSIPプロバイダーは、私のSIP呼び出し時のパスワードをハッシュの代わりにAES暗号化として保存します。SIP認証はパスワードを格納せず、代わりに事前に計算されたハッシュ「string1」を格納する機能。

string HA1=MD5(username:realm:password)  

そして、認証中に計算します。

HA2=MD5(method:digestURI)

response=MD5(HA1:nonce:HA2)

参照 ダイジェストアクセス認証

ただし、プロバイダーによっては、レルム値が変更されるため、一部のクライアントでは文字列HA1を計算できないとのことです。

  • SIP通話時間パスワードを暗号化して保存することは、本当に一般的な方法ですか?
  • SIP=サーバーがレルムを決定していると思いました。確かに、後で通話時間のレルムを予測/決定できないSIPサーバー設定はありますか?
3
Dick99999

通常、一定のレルムがあり、この場合、パスワードの代わりにHA1=MD5(username:realm:password)を格納できます。ただし、パスワードがSIPアカウントにのみ使用されている場合は、プロバイダーのユーザー名とパスワードに対する攻撃内で差し押さえられるか、またはHA1が必要なのは後者だけなので、実際には問題ではありません。ユーザーとして認証するには、アカウントが他のものに使用されている場合、またはパスワードが他のアカウントに使用されている場合にのみ、保存方法は重要です。

1
Steffen Ullrich