PASAS

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt hozzászólók, és jelentősen eltérhet a 2014. október 6-án felülvizsgált verziótól ; az ellenőrzések 19 szerkesztést igényelnek .

A CHAP ( Challenge Handshake Authentication Protocol ) egy közvetett egyeztetéssel rendelkező hitelesítési protokoll . Ez egy hitelesítési algoritmus, és nem magát a felhasználó jelszavát, hanem közvetett információkat biztosítja róla. A csomópont - hitelesítés háromlépéses egyeztetési eljárással [1] [2] történik . A CHAP protokollt széles körben használják a hálózati hozzáférési szerverek és kliensek különböző szolgáltatói [3] . Az RFC 1994 határozza meg .

Hogyan működik

Ki lehet választani egy ciklust, amely három fő részből áll [1] :

Miután a PPP kapcsolat létrejött, és mindkét fél megállapodott a CHAP protokollon keresztüli csatlakozásban, a hitelesítő CHAP csomagot küld a Challenge típusú csomópontnak, amely tartalmazza a nyilvános kulcsot .
A kapott nyilvános kulcs és annak titka alapján a csomópont kiszámít egy hash -t az MD5 kivonatoló algoritmus segítségével , és elküldi a számított hash-t tartalmazó Response (válasz) típusú CHAP-csomagot.
A hitelesítő összehasonlítja a kapott hash értéket a várt hash érték saját számításával. Ha az értékek egyeznek, akkor a hitelesítés sikeresnek minősül. Ha az értékek eltérőek, a kapcsolat megszakad.

Különböző időközönként a hitelesítő új kérést küld a csomópontnak, és az 1-3 lépések megismétlődnek [4] [5] .

CHAP-csomagok szerkezete

A 0xc223 protokollmezővel rendelkező PPP - csomagok információs mezője egyetlen CHAP-csomagot tartalmaz, amely a következő mezőket tartalmazza [6] [7] :

Kód (Kód). A Kód mező, amely egy oktett hosszú, a CHAP csomag típusát azonosítja , és a következő értékek egyikét veheti fel:

Kihívás (hívás, ellenőrzés);
Response (válasz);
Siker (siker);
Kudarc (kudarc).

Azonosító (Identifier). Az Egy oktett hosszúságú Azonosító mező további azonosítást tesz lehetővé a csomag típusától függően. Részt vesz a kérés, válasz és visszaigazolás megbeszélésében.

Hossz (Length). A két oktett hosszúságú Length mező határozza meg a CHAP-csomag hosszát, beleértve az összes mezőt (kód, azonosító, hossz és adatok).

Adatok (Adatok). Az Adatmező hossza nulla vagy több oktett. A kódmező által meghatározott formátumban tartalmaz adatokat.

Építészeti követelmények

A titok hosszának legalább 1 oktettnek kell lennie. A titoknak lehetőleg körülbelül azonos hosszúságúnak kell lennie a használt hash-függvény hash értékével (16 oktett MD5 esetén ). Erre azért van szükség, hogy kellően nagy hatótávolságot biztosítsunk a titok számára, hogy megvédhessük a visszajátszott támadásokat [8] .
Minden kérés értékének globálisan és időben egyedinek és teljesen kiszámíthatatlannak kell lennie, hogy a támadó ne tévesszen meg egy csomópontot egy előre látható jövőbeli kéréssel, és ne küldhessen választ a hitelesítőnek [8] .

Előnyök

A CHAP védelmet nyújt a visszajátszási támadások ellen. Ez a védelem az azonosító és a nyilvános kulcs változó értékének növekedésével érhető el [9] .
A hitelesítési módszer azon alapul, hogy a hitelesítő és a társ ismeri a titkot , amelyet soha nem küldenek el a csatornán. Ez az oka annak, hogy a CHAP jobb biztonságot nyújt, mint a PAP [9] [10] .
Bár a hitelesítés csak egy mód, a CHAP-tárgyalások mindkét irányban lebonyolíthatók ugyanazon titok használatával, kölcsönös hitelesítést biztosítva [2] .

Hátrányok

A CHAP megköveteli, hogy a titok tiszta (titkosítatlan) formában elérhető legyen. A visszafordíthatatlanul titkosított jelszóadatbázisok nem használhatók [11] .
Rosszul alkalmazható nagy projekteknél, nagyszámú résztvevővel, mivel minden titkot a csatorna mindkét végén kell tárolni [9] .

Lásd még

PÉP
MS-CHAP

Jegyzetek

↑ 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. A biztonsági protokollok ellenőrzésére szolgáló eszközök összehasonlító elemzése . - 2010. - 785. o . Archiválva az eredetiből 2017. szeptember 23-án.
↑ 1 2 Cisco - PPP CHAP . Archiválva az eredetiből 2017. december 24-én.
↑ Microsoft Technet - CHAP . Archiválva az eredetiből 2017. december 24-én.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - 2. o . Archiválva az eredetiből 2021. március 8-án.
↑ M. W. Youssef, Hazem El-Gendy. A második TCP/IP-réteg hitelesítésének biztosítása a Challenge-Handshake Authentication Protocol módosításával (angol) // Advanced Computing: An International Journal. - 2012. - március. — 11. o . Archiválva az eredetiből 2017. december 24-én.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - 6. o . Archiválva az eredetiből 2021. március 8-án.
↑ M. W. Youssef, Hazem El-Gendy. A második TCP/IP-réteg hitelesítésének biztosítása a Challenge-Handshake Authentication Protocol módosításával (angol) // Advanced Computing: An International Journal. - 2012. - március. — 12. o . Archiválva az eredetiből 2017. december 24-én.
↑ 12 W. Simpson . PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - 4. o . Archiválva az eredetiből 2021. március 8-án.
↑ 1 2 3 W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - 3. o . Archiválva az eredetiből 2021. március 8-án.
↑ Microsoft Technet - PAP . Archiválva az eredetiből 2017. december 24-én.
↑ Guy Leduc. A Challenge Handshake Authentication Protocol (CHAP ) két verziójának ellenőrzése . - 1999. - február. — 1. o . Archiválva az eredetiből 2017. december 24-én.