MS-CHAP - MS-CHAP

MS-CHAP je Microsoft verze Protokol autentizace Challenge-Handshake, CHAP. Protokol existuje ve dvou verzích, MS-CHAPv1 (definované v RFC 2433 ) a MS-CHAPv2 (definované v RFC 2759 ). MS-CHAPv2 byl představen s pptp3-fix, který byl součástí Windows NT 4.0 SP4 a byl přidán do Windows 98 ve verzi „Windows 98 Dial-Up Networking Security Upgrade Release“^[1] a Windows 95 v aktualizaci „Dial Up Networking 1.3 Performance & Security Update for MS Windows 95“. Windows Vista zrušena podpora pro MS-CHAPv1.

MS-CHAP se používá jako jedna možnost ověřování při implementaci Microsoftu PPTP protokol pro virtuální privátní sítě. Používá se také jako možnost ověřování s POLOMĚR^[2] servery, které se používají s IEEE 802.1X (např., WiFi zabezpečení pomocí WPA-Enterprise protokol). Dále se používá jako hlavní možnost ověřování Protected Extensible Authentication Protocol (PEAP).

Ve srovnání s CHAP^[3] MS-CHAP:^[4]^[5]

je povoleno vyjednáním algoritmu CHAP 0x80 (0x81 pro MS-CHAPv2) v možnosti LCP 3, ověřovací protokol
poskytuje mechanismus změny hesla, který je řízen autentizátorem
poskytuje mechanismus opakování autentizace řízený autentizátorem
definuje chybové kódy vrácené v poli zprávy o chybovém paketu

MS-CHAPv2 poskytuje vzájemné ověřování mezi partnery tím, že vezme zpět výzvu peer na paketu Response a odpověď autentizátoru na paketu Success.

Kryptoanalýza

V MS-CHAP a MS-CHAPv2 bylo zjištěno několik slabin^[6]. The DES šifrování použité v NTLMv1 a MS-CHAPv2 k zašifrování hash hesla NTLM umožňuje vlastní hardwarové útoky s využitím metody hrubé síly. ^[7]

Viz také

EFF DES cracker

Reference

^ „Poznámky k verzi upgradu zabezpečení telefonického připojení na systém Windows 98 (srpen 1998)“. Podpěra, podpora. Microsoft. Srpna 1998.
^ Atributy RADIUS specifické pro Microsoft Vendor. doi:10.17487 / RFC2548. RFC 2548.
^ Protokol PPP Challenge Handshake Authentication Protocol (CHAP). doi:10.17487 / RFC1994. RFC 1994.
^ Rozšíření Microsoft PPP CHAP. doi:10.17487 / RFC2433. RFC 2433.
^ Microsoft PPP CHAP Extensions, verze 2. doi:10.17487 / RFC2759. RFC 2759.
^ Schneier, Bruce; Mudge; Wagner, David (19. října 1999). „Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2)“ (PDF). schneier.com.
^ Eisinger, Jochen (23. července 2001). „Využívání známých bezpečnostních děr v rozšíření PPTP pro ověřování společnosti Microsoft (MS-CHAPv2)“ (PDF). penguin-breeder.org.

[1] „Poznámky k verzi upgradu zabezpečení telefonického připojení na systém Windows 98 (srpen 1998)“. Podpěra, podpora. Microsoft. Srpna 1998.

[2] Atributy RADIUS specifické pro Microsoft Vendor. doi:10.17487 / RFC2548. RFC 2548.

[3] Protokol PPP Challenge Handshake Authentication Protocol (CHAP). doi:10.17487 / RFC1994. RFC 1994.

[4] Rozšíření Microsoft PPP CHAP. doi:10.17487 / RFC2433. RFC 2433.

[5] Microsoft PPP CHAP Extensions, verze 2. doi:10.17487 / RFC2759. RFC 2759.

[6] Schneier, Bruce; Mudge; Wagner, David (19. října 1999). „Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2)“ (PDF). schneier.com.

[7] Eisinger, Jochen (23. července 2001). „Využívání známých bezpečnostních děr v rozšíření PPTP pro ověřování společnosti Microsoft (MS-CHAPv2)“ (PDF). penguin-breeder.org.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Ověření
Ověřovací API	Ověření BSD (BSD Auth) eAuthentication Obecné zabezpečení API služby (GSSAPI) Služba Java Authentication and Authorization Service (JAAS) Zásuvné ověřovací moduly (PAM) Jednoduché ověřování a vrstva zabezpečení (SASL) Rozhraní poskytovatele podpory zabezpečení (SSPI) XCert Universal Database API (XUDA)
Ověřovací protokol	ACF2 AKA Ověřování na základě CAVE Protokol autentizace Challenge-Handshake (CHAP) MS-CHAP Centrální ověřovací služba (CAS) CRAM-MD5 Průměr Extensible Authentication Protocol (EAP) Protokol identity hostitele (BOKY) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Dohoda s klíčem ověřeným heslem protokoly Protokol pro ověření hesla (PAP) Protected Extensible Authentication Protocol (PEAP) Dial Access Dial In User Service (POLOMĚR) Zařízení pro řízení přístupu k prostředkům (RACF) Zabezpečený protokol vzdáleného hesla (SRP) TACACY Woo – Lam
Kategorie Commons