CHAP
(Challenge Handshake Authentication Protocol)

CHAP - Funktionsweise

CHAP ist - ähnlich wie PAP - ein Authentisierungsprotokoll.

Bei CHAP erfolgt die Authentisierung allerdings in drei Phasen. Das Password wird hierbei nur verschlüsselt übertragen.
Wie aus der Grafik erkennbar ist stellt der Client (CHAP-Peer) zunächst eine Verbindung zu seinem Zugangsserver (CHAP-Authenticator) her (Initialisierungsphase). Dieser sendet nun den sog. CHAP-Challenge über die Leitung. Dieser Challenge besteht aus einer Zufallszahl (x) und seiner Kennung (z.B. Gerätenamen).
Der Client berechnet nun aus dem Wer x und seinem Password mittels MD5 einen Hash-Wert (H, bzw. Hclient) mit der Länge 128 bit. Dieser Hash-Wert wird - gemeinsam mit der User-Id - zurück an den Server gesendet (CHAP-Response). Anhand der User-Id kann der Server nun in seiner User- bw. Password-Database das zugehörige Password nachschlagen. Damit kann er dieselbe Rechenoperation wie zuvor der Client durchführen (Errechnen des Hash-Werts aus x und dem Password mittels MD5) und schließlich beide Hash-Werte (also Hclient und Hserver) miteinander vergleichen. Sind diese identisch, erfolgt die Annahme des Requests (ACK
= Verbindung kann aufgebaut werden), andernfalls die Ablehnung (NACK).

CHAP - Arbeitsweise

CHAP - Sicherheit

Da das Password nicht im Klartext, sondern nur als Hash-Wert über die Leitung übertragen wird, ist CHAP als deutlich sicherer als PAP einzustufen.
Als zusätzliches Feature ist es bei CHAP möglich, diese Operation auch während einer Session (z.B. in einem festen Zeitintervall) durchzuführen. Damit kann die Prüfung der Authentizität auch während einer bestehenden Verbindung erfolgen.

CHAP - Nachteile

Nachteilig bei CHAP ist, dass es für Tokenverfahren ungeeignet ist, da bein diesem das Password im Klartext in einer Password-Database vorliegen muss.

Weitere Informationen

CHAP ist im RFC 1994 beschrieben/ definiert.
Desweiteren existiert noch eine von Microsoft adaptierte Version (MS-CHAP bzw. MS-CHAP v2)


Weitere Fragen posten Sie bitte in meinem Internet- und Security-Forum!
In besonderen Fällen stehe ich Ihnen auch gerne per E-Mail zur Verfügung!

Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Security-Seite]

(Diese Seite wurde am 25.9.2003 erstellt,
der letzte Update fand statt am 8.12.2006


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg