Was bedeutet Nonce (number used once)?
Bei einer Nonce (number used once) handelt es sich im Bereich der Kryptografie um eine einmalig generierte Zeichenfolge, die nur ein einziges Mal für einen bestimmten Zweck verwendet wird. Die Nonce kann beispielsweise zur Anmeldung auf einer Website dienen. Die Zeichenfolge ist nur für den Zweck gültig und kann nur einmal verwendet werden.
Was hat Nonce mit Verschlüsselung zu tun?
Die Verschlüsselung soll verhindern, dass identische Originaldaten nach der Verschlüsselung zu Wiederholungen führen. Andererseits kann der Angreifer die Daten zur Dechiffrierung nutzen. Daher ist der Initialisierungsvektor bei der Verschlüsselung eine Nonce, die auftretende Wiederholungen verhindert. In vielen Protokollen mindert die mehrfache Verwendung einer Nonce die Sicherheit drastisch. Nonce werden unter anderem in SSL/TLS eingesetzt und dienen der Verhinderung von Replay-Angriffen.
Wie werden Nonce erzeugt?
Die Verwendung kryptografisch sicherer Zufallswerte ist eine typische Möglichkeit für die Erzeugung. Dabei ist darauf zu achten, dass die Zufallswerte ausreichend groß sind, damit die Wahrscheinlichkeit einer doppelten Verwendung minimal ist.
Welche Risiken gibt es?
Bei der Kommunikation zwischen Client und Server kann die Kommunikation über eine Nonce-basierte Authentisierung stattfinden. Wenn der Server zweimal dieselbe Nonce zurückgibt, kann eine vorher aufgezeichnete Client-Antwort mit dieser Nonce für die Authentifizierung genutzt werden, ohne dass das Passwort bekannt ist.