Challenge Handshake Authentication Protocol


Challenge Handshake Authentication Protocol

Das Challenge Handshake Authentication Protocol (CHAP) ist ein Authentifizierungsprotokoll, das im Rahmen von Point-to-Point Protocol (PPP) eingesetzt wird. PPP ist auf der Sicherungsschicht in der Internetprotokollfamilie angesiedelt.

CHAP ist im RFC 1994 spezifiziert. Im Gegensatz zum Vorläufer Password Authentication Protocol (PAP) wird beim CHAP mehr Wert auf die Sicherheit bei der Übertragung der Passwörter gelegt. Die Authentifizierung erfolgt in drei Schritten:

  1. Ein Client initiiert eine Verbindung zu einem Einwahlserver, und dieser verlangt eine Authentifizierung mittels CHAP. Dabei wird ein zufälliger Wert (die Challenge) an den Client übertragen, der sich authentifizieren muss.
  2. Der Client bildet aus der Zufallszahl und dem Passwort einen Hashwert mittels einer one-way Hashfunktion (zum Beispiel MD5) und überträgt diesen an den Einwahlserver. Unter der Annahme, dass die verwendete Hashfunktion eine Einwegfunktion ist, lässt sich das Passwort nicht wieder errechnen.
  3. Der Einwahlserver errechnet ebenfalls einen Hashwert aus der Zufallszahl und dem bei ihm (im Klartext) hinterlegten Passwort. Wenn dieser mit dem vom zu authentifizierenden Rechner gesendeten Wert übereinstimmt, ist die Authentifizierung erfolgreich.

In einem zufälligen Abstand sendet der Einwahlserver erneut einen zufälligen Wert (die Challenge) an den Client, und die Schritte 1–3 werden wiederholt.

Ein Angreifer, der die Kommunikation mithört, empfängt somit nur den zufälligen Wert und den Hashwert. Normalerweise kann er damit nichts anfangen, da das Passwort nicht übertragen wird. Dennoch kann ein Angreifer einen Man-In-The-Middle-Angriff durchführen, wenn auf Client-Seite sowohl CHAP als auch PAP aktiviert sind. Server und Client handeln zum Beispiel CHAPv2 aus, ein Angreifer könnte die Verbindung unterbrechen und dem Client sagen, dass der Server PAP erwartet. Der Client schickt daraufhin ein PAP-ACK an den Angreifer und dieser ein CHAPv2-ACK an den Server. Anschließend wird ein Challenge-REQ vom Server geschickt, und der Client schickt dem Angreifer Benutzerkennung und Passwort, von welchem dann die Challenge-RES kommt. Der Server nimmt dies entweder an oder lehnt es ab (ACK, NACK).

Neben der im RFC beschrieben CHAP-Implementation existieren noch die Varianten MS-CHAPv1 (RFC 2433) und MS-CHAPv2 (RFC 2759) der Firma Microsoft.

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Challenge-handshake Authentication Protocol — (CHAP) est un protocole d authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin que Initiator et Target iSCSI s… …   Wikipédia en Français

  • Challenge-handshake authentication protocol — (CHAP) est un protocole d authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin que Initiator et Target iSCSI s… …   Wikipédia en Français

  • Challenge-Handshake Authentication Protocol — (CHAP) est un protocole d authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin que Initiator et Target iSCSI s… …   Wikipédia en Français

  • Challenge-Handshake Authentication Protocol — In computing, the Challenge Handshake Authentication Protocol (CHAP) authenticates a user or network host to an authenticating entity. That entity may be, for example, an Internet service provider. CHAP is specified in RFC 1994. CHAP provides… …   Wikipedia

  • Challenge-handshake authentication protocol — In computing, the Challenge Handshake Authentication Protocol (CHAP) authenticates a user or network host to an authenticating entity. That entity may be, for example, an Internet access provider. RFC 1994: PPP Challenge Handshake Authentication… …   Wikipedia

  • Challenge-Handshake Authentication Protocol —    Abbreviated CHAP. A method of authentication that you can use when connecting to an ISP that allows you to log on automatically.    See also Password Authentication Protocol …   Dictionary of networking

  • Challenge Handshake Authentication Protocol — …   Википедия

  • Microsoft Challenge Handshake Authentication Protocol — …   Википедия

  • Challenge-response authentication — For the spam filtering technique, see Challenge response spam filtering. For other uses, see CRAM (disambiguation). In computer security, challenge response authentication is a family of protocols in which one party presents a question (… …   Wikipedia

  • Authentication protocol — An authentication protocol is a type of cryptographic protocol with the purpose of authenticating entities wishing to communicate securely.Authentication protocol may refer to: * Challenge handshake authentication protocol (CHAP) * Extensible… …   Wikipedia


Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.