'אחד מפרוטוקולי האימות הבודדים שאינם שולחים סוד משותף בין המשתמש או הצד המבקש גישה לבין המאמת הוא ה-Challenge-Handshake Authentication (CHAP). זהו פרוטוקול נקודה לנקודה (PPP) שפותח על ידי כוח המשימה להנדסת האינטרנט, IETF. יש לציין שזה שימושי במהלך הפעלה ראשונית של קישור ובדיקות תקופתיות של תקשורת בין הנתב למארח.
לכן, CHAP הוא פרוטוקול אימות זהות שפועל ללא שליחת סוד משותף או סוד הדדי בין המשתמש (הצד המבקש גישה) לבין המאמת (הצד המאמת הזהות).
למרות שהוא עדיין מבוסס על סוד משותף, המאמת שולח הודעת אתגר למשתמש המבקש גישה ולא סוד משותף. הצד המבקש גישה יגיב עם ערך המחושב בדרך כלל באמצעות ערך הגיבוב החד-כיווני. הגורם המאמת הזהות יבדוק את התגובה על סמך חישובה.
האימות יצליח רק אם הערכים תואמים. עם זאת, תהליך האימות ייכשל אם הצד המבקש גישה ישלח ערך שונה מזה של המאמת. וגם לאחר אימות חיבור מוצלח, המאמת עשוי לשלוח אתגר למשתמש מעת לעת כדי לשמור על האבטחה על ידי הגבלת זמן החשיפה להתקפות אפשריות.'
איך CHAP עובד
CHAP פועל בשלבים הבאים:
1. לקוח יוצר קישור PPP ל-NAS (שרת גישה לרשת) המבקש אימות.
2. השולח שולח אתגר לגורם המבקש גישה.
3. הצד המבקש גישה מגיב לאתגר באמצעות אלגוריתם ה-hash חד כיווני MD5. בתגובה, הלקוח ישלח שם משתמש, לצד הצפנת האתגר, סיסמת הלקוח ומזהה ההפעלה.
4. השרת (מאמת) יבדוק את התגובה על ידי השוואתה לערך ה-hash הצפוי על סמך האתגר שלו.
5. השרת יוזם חיבור אם הערכים תואמים. עם זאת, זה יפסיק את החיבור אם הערכים אינם תואמים. אפילו עם חיבור, השרת עדיין יכול לבקש מהלקוח לשלוח תגובה להודעות אתגר חדשות מכיוון ש-CHAP מזהה שינויים לעתים קרובות.
5 המאפיינים המובילים של CHAP
ל-CHAP יש מערך של תכונות שמבדילות אותו מפרוטוקולים אחרים. התכונות כוללות:
-
- שלא כמו TCP, CHAP משתמש בפרוטוקול לחיצת יד תלת כיוונית. המאמת שולח אתגר ללקוח, והלקוח מגיב באמצעות פונקציית hash חד כיוונית. המאמת מתאים את התגובה על סמך הערך המחושב שלה ולבסוף מעניק או שולל גישה.
- הלקוח משתמש בפונקציית hash חד כיוונית של MD5.
- השרת בודק את החיבור מעת לעת ושולח אתגרים למשתמש כדי להבטיח אבטחה ולמזער התקפות במהלך הפעלות.
- CHAP מבקשת לעתים קרובות טקסט פשוט של הסוד ההדדי.
- המשתנים משתנים ללא הרף, ומעניקים לרשתות יותר אבטחה מאשר PAP.
4 מנות CHAP השונות
אימות CHAP משתמש בחבילות הבאות:
-
- חבילת אתגר- זוהי החבילה שהמאמת שולח ללקוח או לגורם המבקש גישה ברגע שהלקוח יוצר קישור PPP. חבילה זו מתחילה בתחילת פרוטוקול לחיצת היד התלת-כיוונית. הוא מכיל ערך מזהה, שדה עבור הערך האקראי ושדה עבור שם המאמת.
- חבילת תגובה- זו התגובה שהצד המבקש גישה שולח בחזרה אל המאמת. יש לו שדה Value המכיל את ערך הגיבוב החד-כיווני שנוצר, שדה שם וערך מזהה. מחשב הלקוח יגדיר אוטומטית את שדה השם של החבילה לסיסמה.
- חבילת הצלחה- השרת ישלח חבילת הצלחה אם תגובת ה-hash של המשתמש תואמת את הערכים שחושבו על ידי השרת. ברגע ששרת שולח חבילת הצלחה, המערכת תיצור חיבור.
- חבילת כישלון - השרת שולח חבילת כשל אם הערך שנוצר יהיה שונה. זה גם מרמז שלא יהיה קשר.
הגדרת CHAP על אימות ומכונות משתמש
השלבים הבאים נחוצים בעת הגדרת CHAP:
א. הפעל את הפקודות למטה הן בשרת/האימות והן במחשבי המשתמש. בדרך כלל, אלו תמיד יהיו מכונות עמיתים.
ב. שנה את שמות המארחים של שני המכונות באמצעות הפקודה למטה. הקלד את הפקודה בכל אחת ממכונות העמיתים.
ג. לבסוף, ספק שם משתמש וסיסמה עבור כל מחשב באמצעות הפקודה שלהלן.
סיכום
יש לציין כי המפתחים של CHAP שפיתחו CHAP תכננו פרוטוקול זה כדי להגן על מערכות מפני התקפות השמעה על ידי הבטחת הצד המבקש גישה משתמש במשתנה ומזהה המשתנים בהדרגה. חוץ מזה, המאמת שולט בתזמון ובתדירות שליחת אתגרים למשתמש או לגורם המבקש גישה.