CHAP
CHAP или Challenge Handshake Authentication Protocol — это протокол проверки подлинности однорангового узла с косвенным трехэтапным согласованием. При этом передается не пароль пользователя, а только информация о нем. Учетные данные протокола состоят из имени пользователя и «секрета». Данный протокол применяют поставщики серверов и клиентов сетевого доступа.
Принцип работы протокола
Процесс аутентификации пользователя в CHAP разделен на три этапа, которые повторяются друг за другом в виде цикла.
- Использование протокола подразумевает, что у клиента и сервера есть учетные данные друг друга. После установки соединения PPP (Point-to-Point Protocol) и одобрения обеих сторон клиент отправляет имя пользователя без указания пароля. Аутентификатор пересылает на узел пакет CHAP с открытым ключом. Пакет CHAP содержит код и идентификатор. Поле кода может принимать значения проверки, отклика, успеха или отказа.
- С помощью открытого ключа и алгоритма хеширования MD5 узел вычисляет хэш и отправляет его в пакете CHAP типа Response.
- Аутентификатор сравнивает полученный хэш с с собственным вычислением значения хэша. Если данные совпадают, проверка считается успешно пройденной. В противном случае соединение разрывается.
Преимущества CHAP
Протокол CHAP считается одной из безопасных форм аутентификации. Клиент и аутентификатор используют секретные вычисления, которые никуда не пересылаются. Отправки пароля также не происходит. Это уменьшает риски взлома. Дополнительный уровень безопасности создает проверка подлинности, которая требует производить новое вычисление при каждом подключении. Проверка подлинности может проводится как в одну сторону, так и в обоих направлениях.
Все это позволяет применять CHAP для защиты от атак повторного воспроизведения.
Недостатки CHAP
При использовании протокола CHAP секрет должен храниться в незашифрованном виде на обоих направлениях. Поэтому CHAP не очень подходит для крупных проектов с большим числом участников.
Предыдущая статья