KILLE

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 6 oktober 2014; kontroller kräver 19 redigeringar .

CHAP ( Challenge Handshake Authentication Protocol ) är ett autentiseringsprotokoll med indirekt förhandling . Det är en autentiseringsalgoritm och tillhandahåller överföring av inte användarens lösenord utan indirekt information om det. Nodautentisering utförs av en trestegsförhandlingsprocedur [1] [2] . CHAP-protokollet används i stor utsträckning av olika leverantörer av nätverksåtkomstservrar och klienter [3] . Definierat i RFC 1994 .

Hur det fungerar

Det är möjligt att peka ut en cykel, som består av tre huvuddelar [1] :

Efter att PPP- anslutningen har upprättats och båda parter är överens om att ansluta via CHAP-protokollet, skickar autentiseringsenheten ett CHAP-paket till noden av Challenge-typen, som innehåller den publika nyckeln .
Baserat på den mottagna publika nyckeln och dess hemlighet beräknar noden en hash med användning av MD5 -hashalgoritmen och skickar ett CHAP-paket av typen Response (respons) som innehåller den beräknade hashen.
Autentiseringsenheten jämför det mottagna hashvärdet med sin egen beräkning av det förväntade hashvärdet. Om värdena matchar anses autentiseringen vara framgångsrik. Om värdena är olika är anslutningen bruten.

Med olika intervall skickar autentiseringsenheten en ny begäran till noden, och steg 1-3 upprepas [4] [5] .

Struktur för CHAP-paket

Informationsfältet för PPP - paket med protokollfält 0xc223 kapslar in ett enda CHAP-paket som innehåller följande fält [6] [7] :

Kod (kod). Kodfältet, som är en oktett långt, identifierar CHAP-pakettypen och kan ha ett av följande värden:

Utmana (ringa, kolla);
Svar (svar);
Framgång (framgång);
Misslyckande (misslyckande).

Identifierare (Identifierare). Identifier-fältet, som är en oktett långt, tillåter ytterligare identifiering beroende på pakettyp. Deltar i förhandlingen av begäran, svar och bekräftelse.

Längd (Längd). Längdfältet, två oktetter långt, anger längden på CHAP-paketet, inklusive alla fält (kod, identifierare, längd och data).

Data (Data). Längden på datafältet är noll eller fler oktetter. Innehåller data i det format som anges av kodfältet.

Arkitekturkrav

Längden på hemligheten måste vara minst 1 oktett. Hemligheten ska helst vara ungefär lika lång som hashvärdet för hashfunktionen som används (16 oktetter för MD5 ). Detta är nödvändigt för att tillhandahålla ett tillräckligt stort omfång för hemligheten, för att skydda mot reprisattacker [8] .
Varje begäranvärde måste vara globalt och tidsmässigt unikt och helt oförutsägbart så att en angripare inte kan lura en nod med en förutsägbar framtida begäran och skicka ett svar till autentiseringsenheten [8] .

Fördelar

CHAP ger skydd mot reprisattacker. Sådant skydd uppnås på grund av det ökande värdet på identifieraren och det variabla värdet på den publika nyckeln [9] .
Autentiseringsmetoden förlitar sig på det faktum att verifieraren och kamraten känner till hemligheten , som aldrig skickas över kanalen. Det är därför CHAP ger bättre säkerhet än PAP [9] [10] .
Även om autentisering bara är ett sätt, kan CHAP-förhandlingar genomföras i båda riktningarna med samma hemlighet, vilket ger ömsesidig autentisering [2] .

Nackdelar

CHAP kräver att hemligheten är tillgänglig i den tydliga (okrypterade) formen. Irreversibelt krypterade lösenordsdatabaser kan inte användas [11] .
Dåligt tillämpligt för stora projekt med ett stort antal deltagare, eftersom varje hemlighet måste lagras i båda ändar av kanalen [9] .

Se även

PAP
MS-CHAP

Anteckningar

↑ 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. En jämförande analys av verktyg för verifiering av säkerhetsprotokoll . - 2010. - S. 785 . Arkiverad från originalet den 23 september 2017.
↑ 1 2 Cisco - PPP KAP . Arkiverad från originalet den 24 december 2017.
↑ Microsoft Technet - KAP . Arkiverad från originalet den 24 december 2017.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - P. 2 . Arkiverad från originalet den 8 mars 2021.
↑ M.W. Youssef, Hazem El-Gendy. Säkra autentisering av TCP/IP-lager två genom att ändra Challenge-Handshake Authentication Protocol (engelska) // Advanced Computing: An International Journal. - 2012. - Mars. — S. 11 . Arkiverad från originalet den 24 december 2017.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - P. 6 . Arkiverad från originalet den 8 mars 2021.
↑ M.W. Youssef, Hazem El-Gendy. Säkra autentisering av TCP/IP-lager två genom att ändra Challenge-Handshake Authentication Protocol (engelska) // Advanced Computing: An International Journal. - 2012. - Mars. — S. 12 . Arkiverad från originalet den 24 december 2017.
↑ 12 W. Simpson . PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - P. 4 . Arkiverad från originalet den 8 mars 2021.
↑ 1 2 3 W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - P. 3 . Arkiverad från originalet den 8 mars 2021.
↑ Microsoft Technet - PAP . Arkiverad från originalet den 24 december 2017.
↑ Guy Leduc. Verifiering av två versioner av Challenge Handshake Authentication Protocol (CHAP ) . - 1999. - Februari. — S. 1 . Arkiverad från originalet den 24 december 2017.