En informática , el Protocolo de autenticación por desafío mutuo ( CHAP ) autentica a un usuario o host de red en una entidad de autenticación. Esa entidad puede ser, por ejemplo, un proveedor de servicios de Internet .
CHAP proporciona protección contra ataques de repetición por parte del par mediante el uso de un identificador que cambia gradualmente y de un valor de desafío variable. CHAP requiere que tanto el cliente como el servidor conozcan el texto sin formato del secreto, aunque nunca se envía a través de la red. Por lo tanto, CHAP proporciona una mejor seguridad en comparación con el Protocolo de autenticación de contraseña (PAP), que es vulnerable por estas dos razones. La variante MS-CHAP no requiere que ninguno de los pares conozca el texto sin formato y no lo transmite, pero se ha roto. [1]
Ciclo de trabajo
CHAP es un esquema de autenticación utilizado por los servidores de protocolo punto a punto (PPP) para validar la identidad de los clientes remotos. CHAP verifica periódicamente la identidad del cliente mediante un protocolo de enlace de tres vías . Esto sucede en el momento de establecer el enlace inicial (LCP) y puede volver a ocurrir en cualquier momento después. La verificación se basa en un secreto compartido (como la contraseña del cliente). [2]
- Una vez completada la fase de establecimiento del enlace, el autenticador envía un mensaje de "desafío" al par.
- El par responde con un valor calculado usando una función hash unidireccional sobre el desafío y el secreto combinados.
- El autenticador compara la respuesta con su propio cálculo del valor hash esperado. Si los valores coinciden, el autenticador reconoce la autenticación; de lo contrario, debería terminar la conexión.
- A intervalos aleatorios, el autenticador envía un nuevo desafío al par y repite los pasos 1 a 3.
Paquetes CHAP
Descripción | 1 byte | 1 byte | 2 bytes | 1 byte | Variable | variable |
---|---|---|---|---|---|---|
Desafío | Código = 1 | IDENTIFICACIÓN | Largo | Duración del desafío | Valor del desafío | Nombre |
Respuesta | Código = 2 | IDENTIFICACIÓN | Largo | Longitud de respuesta | Valor de respuesta | Nombre |
Éxito | Código = 3 | IDENTIFICACIÓN | Largo | Mensaje | ||
Falla | Código = 4 | IDENTIFICACIÓN | Largo | Mensaje |
El ID elegido para el desafío aleatorio también se usa en los paquetes de respuesta, éxito y falla correspondientes. Un nuevo desafío con una nueva identificación debe ser diferente del último desafío con otra identificación. Si se pierde el éxito o el fracaso, se puede enviar de nuevo la misma respuesta y desencadena la misma indicación de éxito o fracaso. Para MD5 como hash, el valor de respuesta es MD5(ID||secret||challenge)
MD5 para la concatenación de ID, secreto y desafío. [3]
Ver también
Referencias
- ^ "Divide y vencerás: Cracking MS-CHAPv2 con una tasa de éxito del 100%" . David Hulton . 2012. Archivado desde el original el 16 de marzo de 2016 . Consultado el 10 de marzo de 2013 .
- ^ Forouzan (2007). Comunicaciones de datos y redes 4E Sie . McGraw-Hill Education (India) Pvt Limited. págs. 352–. ISBN 978-0-07-063414-5. Consultado el 24 de noviembre de 2012 .
- ^ "Comprensión y configuración de la autenticación CHAP de PPP" . Nota técnica de Cisco . 2005 . Consultado el 14 de agosto de 2011 .