В целом, системы «вызов-ответ» не обязательно предотвращают атаки «человек посередине»: если Алиса пытается сообщить Бобу номер своего банковского счета, этот протокол, который реализует некоторые вызов и ответ, не будет обеспечить целостность или конфиденциальность:
Alice: Bob, is that you? // first challenge
Bob: Yes, Alice, it is me, is that you? // first response, second challenge
Alice: Yes! Great. My account number is 314159. // second response, and result
Мэллори может ответить «да» вместо Алисы или Боба, может подделать третье сообщение «результата» или прослушать третье сообщение.
Даже если проблемы будут улучшены, например: «Пожалуйста, добавьте хеш 0x31415926 к нашему общему паролю», данные, передаваемые в незашифрованном виде (либо с использованием слабых / плохих шифров, либо с плохим выбором ключа), могут быть потеряны и данные, передаваемые без каких-либо проверок подлинности сообщений, могут быть изменены третьей стороной.
Там, где протоколы «вызов / ответ» действительно хороши в предотвращении воспроизведения атак: если Алиса просто отправит Бобу сообщение «Пожалуйста, снимите с моего счета 5 долларов и пополните свой счет 5 долларов», Мэллори может записать сообщение и повторить сообщение об уничтожении учетной записи Алисы.
Хорошая система «вызов / ответ» будет генерировать новый вызов для каждой транзакции или сеанса (и следить за тем, чтобы предыдущие вызовы не использовались повторно!), Чтобы стенограммы сеансов не могли быть соединены вместе для создания новых мошеннических систем.
Надеюсь, это поможет, но, боюсь, без более детального представления о том, откуда ваши сомнения, это будет просто шум.