LUKU

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 6. lokakuuta 2014 tarkistetusta versiosta . tarkastukset vaativat 19 muokkausta .

CHAP ( Challenge Handshake Authentication Protocol ) on todennusprotokolla epäsuoralla neuvottelulla . Se on todennusalgoritmi, ja se ei lähetä itse käyttäjän salasanaa, vaan epäsuoraa tietoa siitä. Solmun todennus suoritetaan kolmivaiheisella neuvottelumenettelyllä [1] [2] . CHAP-protokollaa käyttävät laajalti useat verkkoyhteyspalvelinten ja -asiakkaiden toimittajat [3] . Määritelty RFC 1994 :ssä .

Kuinka se toimii

On mahdollista erottaa sykli, joka koostuu kolmesta pääosasta [1] :

Kun PPP - yhteys on muodostettu ja molemmat osapuolet sopivat yhteyden muodostamisesta CHAP-protokollan kautta, autentikaattori lähettää Challenge-tyyppiselle solmulle CHAP-paketin, joka sisältää julkisen avaimen .
Solmu laskee vastaanotetun julkisen avaimen ja sen salaisuuden perusteella tiivisteen käyttämällä MD5 -hajautusalgoritmia ja lähettää CHAP-paketin, jonka tyyppi on Response (response), joka sisältää lasketun hajautusarvon.
Todentaja vertaa vastaanotettua hash-arvoa omaan odotetun hash-arvon laskelmaan. Jos arvot täsmäävät, todennus katsotaan onnistuneeksi. Jos arvot ovat erilaiset, yhteys katkeaa.

Eri aikavälein autentikaattori lähettää uuden pyynnön solmulle ja vaiheet 1-3 toistetaan [4] [5] .

CHAP-pakettien rakenne

PPP - pakettien tietokenttä protokollakentällä 0xc223 kapseloi yhden CHAP-paketin, joka sisältää seuraavat kentät [6] [7] :

Koodi (Koodi). Koodi-kenttä, joka on yhden oktetin mittainen, tunnistaa CHAP-pakettityypin ja voi saada jonkin seuraavista arvoista:

Haaste (soita, tarkista);
Response (response);
Menestys (menestys);
Epäonnistuminen (epäonnistuminen).

Tunniste (Identifier). Yhden oktetin pituinen Identifier-kenttä mahdollistaa lisätunnistuksen paketin tyypistä riippuen. Osallistuu pyynnön, vastauksen ja kuittauksen neuvotteluihin.

Pituus (Length). Kaksi oktettia pitkä Pituus-kenttä määrittää CHAP-paketin pituuden, mukaan lukien kaikki kentät (koodi, tunniste, pituus ja tiedot).

Data (Data). Data-kentän pituus on nolla tai enemmän oktettia. Sisältää tiedot koodikentässä määritetyssä muodossa.

Arkkitehtuurivaatimukset

Salaisuuden pituuden on oltava vähintään 1 oktetti. Salaisuuden tulisi mieluiten olla suunnilleen yhtä pitkä kuin käytetyn hash-funktion hash-arvo (16 oktettia MD5 :lle ). Tämä on tarpeen salaisuuden riittävän laajan kantaman takaamiseksi, jotta voidaan suojautua uusintahyökkäyksiä vastaan [8] .
Jokaisen pyynnön arvon tulee olla globaalisti ja ajallisesti ainutlaatuinen ja täysin arvaamaton, jotta hyökkääjä ei voi huijata solmua ennustettavalla tulevalla pyynnöllä ja lähettää vastausta todentajalle [8] .

Edut

CHAP tarjoaa suojan uusintahyökkäyksiä vastaan. Tällainen suojaus saavutetaan tunnisteen ja julkisen avaimen muuttuvan arvon kasvavan [9] ansiosta .
Todennusmenetelmä perustuu siihen, että autentikaattori ja vertaiskumppani tietävät salaisuuden , jota ei koskaan lähetetä kanavan kautta. Tästä syystä CHAP tarjoaa paremman suojan kuin PAP [9] [10] .
Vaikka todennus on vain yksi tapa, CHAP-neuvottelut voidaan suorittaa molempiin suuntiin käyttämällä samaa salaisuutta, mikä tarjoaa molemminpuolisen autentikoinnin [2] .

Haitat

CHAP edellyttää, että salaisuus on saatavilla selkeässä (salaamattomassa) muodossa. Peruuttamattomasti salattuja salasanatietokantoja ei voida käyttää [11] .
Huonosti sovellettavissa suuriin projekteihin, joissa on paljon osallistujia, koska jokainen salaisuus on tallennettava kanavan molempiin päihin [9] .

Katso myös

PAP
MS-CHAP

Muistiinpanot

↑ 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. Vertaileva analyysi suojausprotokollan varmentamiseen tarkoitetuista työkaluista . - 2010. - s. 785 . Arkistoitu alkuperäisestä 23. syyskuuta 2017.
↑ 1 2 Cisco - PPP CHAP . Arkistoitu alkuperäisestä 24. joulukuuta 2017.
↑ Microsoft Technet - CHAP . Arkistoitu alkuperäisestä 24. joulukuuta 2017.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - s. 2 . Arkistoitu alkuperäisestä 8. maaliskuuta 2021.
↑ M.W. Youssef, Hazem El-Gendy. TCP/IP Layer Two -todennuksen turvaaminen muokkaamalla Challenge-Handshake Authentication Protocol -protokollaa (englanniksi) // Advanced Computing: An International Journal. - 2012 - maaliskuu. — s. 11 . Arkistoitu alkuperäisestä 24. joulukuuta 2017.
↑ W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - s. 6 . Arkistoitu alkuperäisestä 8. maaliskuuta 2021.
↑ M.W. Youssef, Hazem El-Gendy. TCP/IP Layer Two -todennuksen turvaaminen muokkaamalla Challenge-Handshake Authentication Protocol -protokollaa (englanniksi) // Advanced Computing: An International Journal. - 2012 - maaliskuu. - s. 12 . Arkistoitu alkuperäisestä 24. joulukuuta 2017.
↑ 12 W. Simpson . PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - s. 4 . Arkistoitu alkuperäisestä 8. maaliskuuta 2021.
↑ 1 2 3 W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP ) . - 1996. - s. 3 . Arkistoitu alkuperäisestä 8. maaliskuuta 2021.
↑ Microsoft Technet - PAP . Arkistoitu alkuperäisestä 24. joulukuuta 2017.
↑ Guy Leduc. Challenge Handshake Authentication Protocol (CHAP ) -protokollan kahden version tarkistus . - 1999. - helmikuuta. — s. 1 . Arkistoitu alkuperäisestä 24. joulukuuta 2017.