CHAP

CHAP ( Challenge Handshake Authentication Protocol ) je autentizační protokol s nepřímým vyjednáváním .  Je to ověřovací algoritmus a zajišťuje přenos nikoli samotného hesla uživatele, ale nepřímé informace o něm. Autentizace uzlu se provádí tříkrokovou vyjednávací procedurou [1] [2] . Protokol CHAP je široce používán různými poskytovateli serverů a klientů pro přístup k síti [3] . Definováno v RFC 1994 .

Jak to funguje

Je možné vyčlenit cyklus, který se skládá ze tří hlavních částí [1] :

1. Poté, co je navázáno PPP spojení a obě strany souhlasí s připojením přes protokol CHAP, autentizátor odešle paket CHAP do uzlu typu Challenge, který obsahuje veřejný klíč .
2. Na základě přijatého veřejného klíče a jeho tajemství vypočítá uzel pomocí hashovacího algoritmu MD5 hash a odešle paket CHAP typu Response (odpověď) obsahující vypočítaný hash.
3. Autentizátor porovná přijatou hodnotu hash s vlastním výpočtem očekávané hodnoty hash. Pokud se hodnoty shodují, je ověření považováno za úspěšné. Pokud se hodnoty liší, spojení je přerušeno.

V různých intervalech odesílá autentizátor do uzlu nový požadavek a kroky 1-3 se opakují [4] [5] .

Struktura balíků CHAP

Informační pole paketů PPP s polem protokolu 0xc223 zapouzdřuje jeden paket CHAP, který obsahuje následující pole [6] [7] :

• Kód (Kód). Pole Kód, které je dlouhé jeden oktet , identifikuje typ paketu CHAP a může nabývat jedné z následujících hodnot:

1. Challenge (zavolat, zkontrolovat);
2. Odezva (odpověď);
3. Úspěch (úspěch);
4. Selhání (selhání).

• Identifikátor (Identifier). Pole Identifikátor, které je dlouhé jeden oktet, umožňuje další identifikaci v závislosti na typu paketu. Podílí se na vyjednávání žádosti, odpovědi a potvrzení.

• Délka (Length). Pole Délka, dlouhé dva oktety, určuje délku paketu CHAP včetně všech polí (kód, identifikátor, délka a data).

• Data (Data). Délka datového pole je nula nebo více oktetů. Obsahuje data ve formátu určeném polem kódu.

Požadavky na architekturu

1. Délka tajenky musí být alespoň 1 oktet. Tajný klíč by měl mít pokud možno stejnou délku jako hašovací hodnota použité hašovací funkce (16 oktetů pro MD5 ). To je nezbytné pro zajištění dostatečně velkého rozsahu pro tajný kód, aby bylo možné chránit před opakovanými útoky [8] .
2. Každá hodnota požadavku musí být globálně a časově jedinečná a zcela nepředvídatelná, aby útočník nemohl oklamat uzel předvídatelným budoucím požadavkem a odeslat odpověď autentizátorovi [8] .

Výhody

• CHAP poskytuje ochranu proti opakovaným útokům. Taková ochrana je dosažena díky rostoucí hodnotě identifikátoru a proměnné hodnoty veřejného klíče [9] .
• Metoda autentizace se opírá o skutečnost, že ověřovatel a partner znají tajemství , které se nikdy neposílá kanálem. Proto CHAP poskytuje lepší zabezpečení než PAP [9] [10] .
• Ačkoli je autentizace pouze jedním způsobem, vyjednávání CHAP lze provádět oběma směry pomocí stejného tajemství, což poskytuje vzájemné ověření [2] .

Nevýhody

• CHAP vyžaduje, aby byl tajný klíč dostupný v čisté (nešifrované) podobě. Nelze použít nevratně zašifrované databáze hesel [11] .
• Špatně použitelné pro velké projekty s velkým počtem účastníků, protože každé tajemství musí být uloženo na obou koncích kanálu [9] .

Viz také

• PAP
• MS-CHAP

Poznámky

1. ↑ 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. Srovnávací analýza nástrojů pro ověřování bezpečnostních protokolů  . - 2010. - S. 785 . Archivováno z originálu 23. září 2017.
2. ↑ 1 2 Cisco - PPP CHAP  . Archivováno z originálu 24. prosince 2017.
3. ↑ Microsoft Technet -  CHAP . Archivováno z originálu 24. prosince 2017.
4. ↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP  ) . - 1996. - S. 2 . Archivováno z originálu 8. března 2021.
5. ↑ M. W. Youssef, Hazem El-Gendy. Zabezpečení ověřování TCP/IP vrstvy 2 úpravou protokolu Challenge-Handshake Authentication Protocol  (anglicky)  // Advanced Computing: An International Journal. - 2012. - Březen. — Str. 11 . Archivováno z originálu 24. prosince 2017.
6. ↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP  ) . - 1996. - S. 6 . Archivováno z originálu 8. března 2021.
7. ↑ M. W. Youssef, Hazem El-Gendy. Zabezpečení ověřování TCP/IP vrstvy 2 úpravou protokolu Challenge-Handshake Authentication Protocol  (anglicky)  // Advanced Computing: An International Journal. - 2012. - Březen. — Str. 12 . Archivováno z originálu 24. prosince 2017.
8. ↑ 12 W. Simpson . PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - S. 4 . Archivováno z originálu 8. března 2021.  
9. ↑ 1 2 3 W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP  ) . - 1996. - S. 3 . Archivováno z originálu 8. března 2021.
10. ↑ Microsoft Technet -  PAP . Archivováno z originálu 24. prosince 2017.
11. ↑ Guy Leduc. Ověření dvou verzí protokolu CHAP ( Challenge Handshake Authentication Protocol  ) . - 1999. - únor. — P. 1 . Archivováno z originálu 24. prosince 2017.

Literatura