Das OTP/sKey Verfahren im DEC ist ungeeignet.

Ohne ein Mehrstufen Protokoll wird das niemals kryptographisch sicher umzusetzen gehen (jedenfalls nich ohne zus. Krypto Hardware). Da Meflin aber eben möchte das der Client sofort und direkt authentifiziert werden kann ginge dies nur über digitale Signaturen, sprich Public Key Kryptographie. Der Hacken dabei ist aber das der Schlüssel des Servers schon auf Clientseite bekannt sein muß. Diesen Schlüssel kann man aber als Hacker extrahieren und in die eigene Anwendung einbauen, ergo sich als berechtigter Client ausgeben.

Deshalb meine ich das du unbedingt ein Mehrstufen Protokoll benötigst, zb. SRP ist sehr gut. Bei so einem Protokoll wird der Server und der Client mehrmals nacheinander verschiedene Daten austauschen. D.h. also auch einen Seed auf Serverseite.

Man kann aber zumindestens alle "unintelligenten" Scanning Angriffe auf den Server Port ausschließen. Dazu arbeitet der Server im Stealth Modus. Der Client verbindet mit dem Port und sendet ein Identifizierungs-Packet. Wird dieses Packet nicht gesendet so antwortet der Server überhaupt nicht. Ein Port Scanner wird diesen Port dann als offen aber nicht aktiv erkennen. Die meisten Server, besonders die MS eigenen, senden sofort nach Verbindungsaufbau an den Clienten ein Identifizierungs String. Ein Scanner kann daraus ermitteln was sich hinter dem Port für eine Software befindet und darauf aufbauend eben Angriffe starten.

Gruß Hagen