[[ネットワーク用語]] > CHAP
* CHAP [#n8b7e5e6]
CHAP = Challenge Handshake Authentication Protocol
[[CHAPとは【Challenge Handshake Authentication Protocol】(チャレンジハンドシェイク認証プロトコル) - IT用語辞典>http://e-words.jp/w/CHAP.html]]
>CHAP 【Challenge Handshake Authentication Protocol】(チャレンジハンドシェイク認証プロトコル)
読み :チャップ
[[PPP]]などで利用される認証方式の一つ。
認証情報のやり取りが暗号化されるため、PAPなどよりも安全性が高い。
CHAPでは、まず「チャレンジ」と呼ばれる乱数文字列をサーバからクライアントに送る。
クライアントはこれを元に自身のパスワードを暗号化して返す。
サーバはクライアントのパスワードを記憶しているので、同様の暗号化をして、その結果とクライアントから返された暗号とを比較することでユーザの認証を行うことができる。
途中経路でこのやり取りを盗聴されても、手に入るのは暗号化された情報なので、パスワードを盗まれることはない。
また、接続中にも何度となくチャレンジを送信することで、「なりすまし」行為も防止することができる。
[[Challenge-Handshake Authentication Protocol - Wikipedia>http://ja.wikipedia.org/wiki/Challenge-Handshake_Authentication_Protocol]]
>コンピュータネットワークにおいて、Challenge-Handshake Authentication Protocol (チャレンジ・ハンドシェイク・オーセンティケーション・プロトコル、CHAP) は、ユーザやネットーワークホストに対する認証プロトコルである。
例えば、この認証はインターネットサービスプロバイダによって行われる。
RFC 1994: PPP Challenge Handshake Authentication Protocol (CHAP) がこのプロトコルを定義している。
CHAP は Point-to-Point Protocol (PPP) が、リモートクライアントの正当性を確認するための認証方法として使用される。
CHAP は3ウェイ・ハンドシェークによって、定期的にクライアントの正当性を確認する。
これは、最初のデータ通信リンクを確立するときに行われ、その後はいつでも行われる可能性がある。
この確認は、共有秘密 (例えばクライアントユーザのパスワード) に基づいている。
+ データリンク確立フェーズの後、認証者は "チャレンジ" メッセージを被認証者に送る。
+ 被認証者は、MD5 チェックサムのハッシュ関数のような、一方向性関数を使って計算した値のレスポンス返送する。
+ 認証者は、期待すべきハッシュ値の計算を自分で行い、レスポンス内容を確認する。もし、値が一致するならば、認証者は被認証者を正当な相手として承認する。
+ ランダムな間隔で、認証者は新しい "チャレンジ" を送り、ステップ 1 から 3 を繰り返す。
>CHAP は、増加していく識別子と、可変の "チャレンジ" 値を用いることにより、相手からの反射攻撃に対する防御を提供する。
CHAP は、クライアントとサーバが秘密鍵の平文を知っていることを必要とするが、これがネットワークに対して送られることはない。
マイクロソフトは、MS-CHAP と呼ばれる CHAP のバリエーションを実装した。
これは相手が秘密鍵の平文を知ることさえ要求しない。
** リンク [#g68179d9]
[[ネゴシエーション]]
[[PPP]]
