Challenge-handshake authentication protocol

Challenge Handshake Authentication Protocol (CHAP) slouží k prokazování totožnosti při použití protokolu PPP. Protokol CHAP řeší nedostatky protokolu PAP a je definovaný v RFC 1994.

[editovat] Autentizace

Klient i server sdílí stejný šifrovací klič symetrické šifry. Protokol CHAP komunikuje ve třech krocích.

1. V prvním kroku příkazem Challenge odešle server vzdálenému klientovi výzvu obsahující náhodný řetězec. Pakety Challenge mohou být v průběhu komunikace odesílané kdykoliv z důvodu ověření klienta.
2. Vzdálený klient zašifruje řetězec pomocí jednocestné funkce známé jako hash např. pomocí algoritmu MD5. Výsledek vloží do odpovědi (Respone) a odešle vzdálenému serveru.
3. Vzdálený server obdržel zašifrovanou zprávu od klienta. Server zašifruje původní zprávu, kterou odeslal klientovi stejným způsobem a porovná se zprávou, kterou získal od vzdáleného klienta. Pokud je výsledek schodný, tak dojde k potvrzení autentizace (Secces) při neshodě k zamítnutí autentizace (Failure).

Výhoda protokolu CHAP je oboustranná autentizace, tj. autentizace klienta proti serveru a autentizace serveru proti klientovi.

[editovat] Bezpečnost v protokolu CHAP

Před zneužití a odchycení hesla slouží serveru změna Challenge a narůstající identifikátor v odeslaných paketech. Klient při odesílání odpovědí serveru vkládá do paketu důsledně okopírované identifikátory, které slouží serveru ke správnému vybrání Challenge pro vlastní výpočet pomocí funkce hash.

[editovat] CHAP paket

• Rámec protokolu PPP s vloženým paketem protokolu CHAP (pole má hodnotu C223 (hex))

[editovat] Reference

• Alena Kabelová, Libor Dostálek: Velký průvodce protokoly TCP/IP a systémem DNS, CP Books, 2005; ISBN 80-7226-675-6
• Autentizační protokoly používané v PPP