Todennus - Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)
MS-CHAP
Microsoft on kehittänyt tietyn version CHAP: stä, nimeltään MS-CHAP (Microsoft Challenge Handshake Authentication Protocol -versio 1, jota joskus kutsutaan MS-CHAP-v1: ksi), parantamalla yleistä turvallisuutta. Itse asiassa CHAP edellyttää, että salasanat siirretään pelkkänä tekstinä verkon kautta, mikä on mahdollinen haavoittuvuus. MS-CHAP tarjoaa hajautustoiminnon tallentamaan salasanan palvelimelle (hajauttamalla). Kun etälaite reagoi haasteeseen, ja sen täytyy hajauttaa salasana omalla algoritmilla.
Valitettavasti MS-CHAP-v1-protokolla kärsii tietoturvaheikkoista, jotka liittyvät patentoidun hash-toiminnon heikkouksiin.
MS-CHAP v2
MS-CHAP: n versio 2, MS-CHAP-niminen V2 asetettiin tammikuussa 2000 (RFC 2759). Tämä pöytäkirjan uusi versio määrittelee niin kutsutun "keskinäisen todennuksen" menetelmän, jonka avulla autentikointipalvelin ja etälaite voivat tarkistaa henkilöllisyytensä. Prosessi on seuraava:
- Todennuspalvelin lähettää varmennuspyynnön (istunnon tunnisteen ja satunnaisen merkkijonon) etäasiakkaalle.
Etäasiakas vastaa seuraavasti:
- sen käyttäjänimi,
- hash-sisältö, joka sisältää mielivaltaisen merkkijonon, joka on peräisin autentikointipalvelimesta, istunnon tunnuksesta ja salasanasta,
- satunnainen merkkijono.
Todennuspalvelin tarkistaa etäasiakkaan vastauksen ja lähettää sen puolestaan:
- ilmoitus todistuksen onnistumisesta tai epäonnistumisesta
- salattu vastaus, joka perustuu etäasiakkaan tarjoamaan satunnais- merkkijonoon.
Sen jälkeen etäasiakas tarkistaa vastauksen ja vahvistaa onnistuneen yhteyden.
Lisää tietoa
RFC 2433 - Microsoftin PPP-laajennukset
RFC 2759 - Microsoftin PPP-laajennukset, versio 2
Alkuperäinen asiakirja, joka on julkaistu CommentcaMarche.net-sivustolla.