MS-CHAP - MS-CHAP

MS-CHAP это Microsoft версия Протокол аутентификации Challenge-Handshake, CHAP. Протокол существует в двух версиях: MS-CHAPv1 (определено в RFC 2433 ) и MS-CHAPv2 (определено в RFC 2759 ). MS-CHAPv2 был представлен с pptp3-fix, который был включен в Windows NT 4.0 SP4 и был добавлен в Windows 98 в «Выпуске обновления безопасности удаленного доступа к сети Windows 98»[1] и Windows 95 в обновлении "Dial Up Networking 1.3 Performance & Security Update для MS Windows 95". Виндоус виста отказался от поддержки MS-CHAPv1.

MS-CHAP используется как один из вариантов аутентификации в реализации Microsoft PPTP протокол для виртуальные частные сети. Он также используется как опция аутентификации с РАДИУС[2] серверы, которые используются с IEEE 802.1X (например., Вай фай безопасность с использованием WPA-предприятие протокол). В дальнейшем он используется в качестве основного варианта аутентификации Защищенный расширяемый протокол аутентификации (PEAP).

По сравнению с CHAP,[3] MS-CHAP:[4][5]

  • включается согласованием алгоритма CHAP 0x80 (0x81 для MS-CHAPv2) в опции 3 LCP, протокол аутентификации
  • обеспечивает механизм смены пароля под управлением аутентификатора
  • обеспечивает механизм повторной попытки аутентификации, управляемый аутентификатором
  • определяет коды ошибок, возвращаемые в поле сообщения пакета сбоя

MS-CHAPv2 обеспечивает взаимную аутентификацию между одноранговыми узлами, совмещая вызов однорангового узла в пакете ответа и ответ аутентификатора в пакете успеха.

Криптоанализ

В MS-CHAP и MS-CHAPv2 обнаружено несколько слабых мест.[6]. В DES Шифрование, используемое в NTLMv1 и MS-CHAPv2 для шифрования хэша паролей NTLM, делает возможными специальные аппаратные атаки с использованием метода грубой силы. [7]

Смотрите также

использованная литература

  1. ^ "Примечания к выпуску обновления безопасности удаленного доступа к сети Windows 98 (август 1998 г.)". Поддержка. Microsoft. Август 1998 г.
  2. ^ Атрибуты RADIUS для конкретного поставщика Microsoft. Дои:10.17487 / RFC2548. RFC 2548.
  3. ^ Протокол проверки подлинности с вызовом PPP (CHAP). Дои:10.17487 / RFC1994. RFC 1994.
  4. ^ Расширения Microsoft PPP CHAP. Дои:10.17487 / RFC2433. RFC 2433.
  5. ^ Расширения Microsoft PPP CHAP, версия 2. Дои:10.17487 / RFC2759. RFC 2759.
  6. ^ Шнайер, Брюс; Mudge; Вагнер, Давид (19 октября 1999 г.). «Криптоанализ расширений аутентификации Microsoft PPTP (MS-CHAPv2)» (PDF). schneier.com.
  7. ^ Айзингер, Йохен (23 июля 2001 г.). «Использование известных дыр в безопасности в расширениях Microsoft PPTP Authentication Extensions (MS-CHAPv2)» (PDF). penguin-breeder.org.