Challenge-Response-Authentifizierung

Das Challenge-Response-Verfahren (übersetzt etwa Herausforderung-Antwort-Verfahren) ist ein sicheres Authentifizierungsverfahren eines Teilnehmers auf Basis von Wissen. Hierbei stellt ein Teilnehmer eine Aufgabe (engl. challenge), die der andere lösen muss (engl. response), um zu beweisen dass er eine bestimmte Information kennt. Es wird u. a. häufig eingesetzt, um das Zustellen unerwünschter E-Mails (Spam) zu verhindern.

Ein sehr einfaches Beispiel ist die Frage nach einem Passwort. Dabei ist die Herausforderung die Frage nach dem Passwort, und die korrekte Antwort ist das richtige Passwort. Bei dieser Methode kann das Passwort jedoch von Angreifern auf der Leitung mitgehört werden. Deswegen verwendet man Verfahren, bei denen das Wissen nicht preisgegeben werden muss, um herauszufinden, ob der andere Teilnehmer dies auch weiß. Der Teilnehmer muss nicht das Passwort übertragen, sondern er muss lediglich sicher beweisen, dass er das Passwort kennt.

Hierfür gibt es in Abhängigkeit von dem verwendeten Verschlüsselungsverfahren (symmetrisch oder asymmetrisch) im Detail unterschiedliche Methoden, die aber auf demselben Grundprinzip beruhen. Wenn sich eine Seite (in der Kryptographie meist als Alice benannt) gegenüber einer anderen, zweiten Seite (meist Bob genannt) authentifizieren möchte, so sendet Bob eine Zufallszahl N (Nonce) an Alice (Bob stellt also die Challenge). Alice verschlüsselt diese Zahl N mit ihrem Passwort und sendet das Ergebnis an Bob zurück (und liefert somit die Response). Dieser hat inzwischen dieselbe Zufallszahl mit dem ihm zu Alice bekannten Passwort verschlüsselt und vergleicht nun das Ergebnis dieser Verschlüsselung mit der Response, die er von Alice erhält. Sind beide verschlüsselten Nachrichten identisch, so hat sich Alice erfolgreich authentifiziert. Wichtig hierbei ist, dass der Inhalt von Alices Nachricht in der Regel nicht entschlüsselt wird; es findet lediglich ein Gleichheitstest statt.

Angriffe

Ein Angreifer, der auf der Leitung mithört, hat allerdings die Möglichkeit, einen sogenannten Known-Plaintext-Angriff zu starten. Hierzu zeichnet er die übertragene Zufallszahl, die Challenge, sowie die dazugehörige Response auf und versucht mit kryptoanalytischen Methoden auf das verwendete Passwort zu schließen. Solche Angriffe haben z. B. in GSM-Systemen zum Erfolg geführt. Eine weitere Möglichkeit besteht im Wörterbuchangriff. Hier rät der Angreifer das Passwort, verschlüsselt damit die Zufallszahl und vergleicht sein Ergebnis mit der Response. Auf diese Weise konnte die Version 4 des Kerberos-Protokolls erfolgreich attackiert werden. Abhilfe schafft in diesem Fall beispielsweise die verschlüsselte Übermittlung der Zufallszahl von Bob zu Alice. Eine weitere Möglichkeit zur weitgehenden Verhinderung dieses Chosen-Plaintext-Angriffs ist das zusätzliche Einbeziehen eines nur für kurze Zeit gültigen Zeitstempels in die Challenge, so dass die Gültigkeitsdauer der Response abläuft, bevor der Angreifer das Passwort erraten kann. Um ein erneutes Übertragen einer abgefangenen Response (Replay-Attacke) zu verhindern, muss zudem sichergestellt sein, dass die Zufallszahl im Challenge mit jeder Verbindung bzw. Sitzung wechselt und sich ein langfristiges Sammeln der Response-Antworten durch den Angreifer, auf Grund der abgelaufenen Zeitstempel, nicht lohnt.

Anwendung

Anwendungen findet die Challenge-Response-Authentifizierung im APOP-Authentifikationsverfahren des POP3-Protokolls oder in der CHAP-Authentifizierung für PPP-Netzwerkverbindungen (z. B. ADSL- oder Modem-Internetverbindungen).