Protokol autentizace Challenge-Handshake - Challenge-Handshake Authentication Protocol - Wikipedia

v výpočetní, Protokol autentizace Challenge-Handshake (CHAP) ověřuje uživatele nebo hostitele sítě k ověřující entitě. Touto entitou může být například poskytovatel internetu.

Protokol CHAP poskytuje ochranu proti opakujte útoky peer prostřednictvím použití postupně se měnícího identifikátoru a proměnné hodnoty výzvy. CHAP vyžaduje, aby klient i server znali prostý text tajemství, i když se nikdy neposílá po síti. CHAP tedy poskytuje lepší zabezpečení ve srovnání s Protokol pro ověření hesla (PAP), který je zranitelný z obou těchto důvodů. The MS-CHAP varianta nevyžaduje, aby peer znal prostý text a nevysílá jej, ale byl rozbit.^[1]

Pracovní cyklus

CHAP je schéma ověřování používané serverem Protokol point-to-point (PPP) servery k ověření identity vzdálených klientů. CHAP pravidelně ověřuje totožnost klient pomocí a třícestné podání ruky. K tomu dochází v době stanovení počátečního odkaz (LCP) a může se to stát kdykoli poté. Ověření je založeno na a sdílené tajemství (například heslo klienta).^[2]

Po dokončení fáze navázání spojení autentizátor odešle zprávu „výzva“ peer.
Partner odpoví hodnotou vypočítanou pomocí a jednosměrná hash funkce na výzvu a tajemství dohromady.
Autentizátor zkontroluje odpověď proti vlastnímu výpočtu očekávané hodnoty hash. Pokud se hodnoty shodují, ověřovatel potvrdí ověření; jinak by mělo spojení ukončit.
V náhodných intervalech autentizátor odešle novou výzvu vrstevníkovi a opakuje kroky 1 až 3.

CHAP pakety

Popis	1 bajt	1 bajt	2 bajty	1 bajt	Variabilní	proměnná
Výzva	Kód = 1	ID	Délka	Délka výzvy	Hodnota výzvy	název
Odezva	Kód = 2	ID	Délka	Délka odezvy	Hodnota odpovědi	název
Úspěch	Kód = 3	ID	Délka		Zpráva
Selhání	Kód = 4	ID	Délka		Zpráva

ID vybrané pro náhodnou výzvu se také používá v odpovídajících paketech odezvy, úspěchu a selhání. Nová výzva s novým ID se musí lišit od poslední výzvy s jiným ID. Pokud dojde ke ztrátě úspěchu nebo selhání, lze odeslat stejnou odpověď znovu a spustí stejnou indikaci úspěchu nebo selhání. Pro MD5 jako hash je hodnota odezvy MD5 (ID || tajemství || výzva), MD5 pro zřetězení ID, tajemství a výzvy.^[3]

Viz také

Reference

^ „Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate“. David Hulton. 2012. Archivovány od originál dne 16. března 2016. Citováno 2013-03-10.
^ Forouzan (2007). Datová komunikace a sítě 4E Sie. McGraw-Hill Education (India) Pvt Limited. str. 352–. ISBN 978-0-07-063414-5. Citováno 24. listopadu 2012.
^ „Porozumění a konfigurace ověřování PPP CHAP“. Technická poznámka společnosti Cisco. 2005. Citováno 2011-08-14.

externí odkazy

RFC 1994 Protokol PPP Challenge Handshake Authentication Protocol (CHAP)
RFC 2865 Dial Authentication Dial In User Service (POLOMĚR ): používá PAP nebo CHAP
RFC 3748 Extensible Authentication Protocol (EAP ): pojednává o CHAP

[1] „Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate“. David Hulton. 2012. Archivovány od originál dne 16. března 2016. Citováno 2013-03-10.

[Forouzan2007-2] Forouzan (2007). Datová komunikace a sítě 4E Sie. McGraw-Hill Education (India) Pvt Limited. str. 352–. ISBN 978-0-07-063414-5. Citováno 24. listopadu 2012.

[3] „Porozumění a konfigurace ověřování PPP CHAP“. Technická poznámka společnosti Cisco. 2005. Citováno 2011-08-14.

[1]

[2]

[3]

Ověření
Ověřovací API	Ověření BSD (BSD Auth) eAuthentication Obecné zabezpečení API služby (GSSAPI) Služba Java Authentication and Authorization Service (JAAS) Zásuvné ověřovací moduly (PAM) Jednoduché ověřování a vrstva zabezpečení (SASL) Rozhraní poskytovatele podpory zabezpečení (SSPI) XCert Universal Database API (XUDA)
Ověřovací protokol	ACF2 AKA Ověřování na základě CAVE Protokol autentizace Challenge-Handshake (CHAP) MS-CHAP Centrální ověřovací služba (CAS) CRAM-MD5 Průměr Extensible Authentication Protocol (EAP) Protokol identity hostitele (BOKY) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Dohoda s klíčem ověřeným heslem protokoly Protokol pro ověření hesla (PAP) Protected Extensible Authentication Protocol (PEAP) Dial Access Dial In User Service (POLOMĚR) Zařízení pro řízení přístupu k prostředkům (RACF) Zabezpečený protokol vzdáleného hesla (SRP) TACACY Woo – Lam
Kategorie Commons