问MMORPG应该使用加密吗？

EN

加密是一个工具。确保工具适合这个问题。

加密在本质上是很有用的: 1)第三方不能查看数据，2)双方都是他们所说的人，3)数据没有被修改。这些都不适用于这里。记住，客户端位于用户(攻击者)计算机上。如果他们修改客户端，它将乐于签署和加密任何他们想要的消息。

要考虑的第二件事是，客户端拥有密钥，因此您应该假定攻击者也拥有密钥。即使您使用非对称加密，客户端也拥有解密它接收到的任何内容的密钥。如果您向客户端发送“私有数据”，攻击可以找到密钥并对其进行解密。

一个好的MMORPG (旨在使欺骗变得困难)应该假设两件事：( a)用户/攻击者可以看到发送给客户端的任何数据(所以不要发送东西给客户端，您不希望用户看到)( b)攻击者可以向用户发送任何可能的命令(所以不要依赖客户端的安全性)。

在大多数MMORPG中，客户端只不过是一个哑巴终端，具有令人印象深刻的图形。所有的计算、错误检查和验证都发生在服务器端。客户不确定你是被击中还是错过，也不确定你的损失有多大。客户端简单地告诉服务器：“我正在攻击项382903128。”或者其他一些行动(不是结果)。服务器验证播放机是否有权访问该选项，是否有项，此时命令是否有效。为了防止嗅探攻击，客户端只获得用户可以访问的数据。

在任何安全上下文中，您都需要考虑具体的威胁场景是什么。

攻击者A可以访问运行游戏客户端的机器，并希望编写一个机器人来自动执行他的操作，以便轻松赢得战斗。

攻击者B正在本地网络上窃听数据包，目的是

• 盗取登录凭证，以便免费玩游戏。
• 监视玩家与玩家之间的私人聊天，可能是为了在游戏中获得优势，也可能是为了敲诈或骚扰真正的
• 命令流中的额外行为，例如指示以为攻击者赚钱的价格买卖物品。

加密对攻击者A没有任何影响(因为游戏客户端可以解密通信，攻击者也可以；必须在服务器上采取对策)，但却击败了攻击者B。

关于正在传输的数据的价值，我不同意其他一些答案。你与其他玩家的私人聊天就像你与他们的即时信息一样值得保护，而你的黄金和财产，经过几个小时的辛勤劳动，应该得到一些保护，让你免受攻击者的攻击，如果不是你在银行账户中的钱那么多的话。

在90年代，Quest使用了一种低级别的数据包加密。我深情地记得，因为过去有一个附带的应用程序，它可以嗅探数据包数据，并为您提供一个关于区域中每个人的区域范围的信息。EQ团队在添加数据包加密时暂时削弱了这一点，但这并没有阻止黑客社区，因为他们只是从客户端机器上获取密钥。所以最终，这对我们没有任何帮助。至于其他的MMO，我还没有通过查看数据包数据来确定结果。