Challenge Handshake Authentication Protocol
Das Challenge Handshake Authentication Protocol oder PPP Challenge Handshake Authentication Protocol, CHAP ist wie das PAP ein Protokoll zur Authentifikation. CHAP wird bei der Authentifikation bei PPP-Verbindungen verwendet. Es bildet die Verbesserung von PAP, damit die Sicherheitsprobleme die PAP hat beseitigt werden. Bei CHAP werden die Benutzerdaten nicht als Klartext übertragen sondern als ein MD5 Hash. Da der Server dem Client einen Zufallswert sendet, Challenge genannt, gehört das Protokoll zu den Challenge Response Protokollen.
Ablauf
Bei dem Verbindungsaufbau sendet der Server dem Client eine Zufallszahl. Dieser sendet einen MD5 Hash mit seinen Benutzerdaten und der Zufallszahl an den Server. Der Server bildet diesen Hash ebenfalls und vergleich diese mit den ihm vorliegenden Daten. Diese Verfahren nennt man 3-Wege-Handshake
Vorteil
CHAP ist im Gegensatz zu PAP sicherer, da keine Daten im Klartext gesendet werden. Es werden nur Hashwerte der Benutzerdaten versendet, welche noch mit einer Zufallszahl versehen wurden.
Nachteil
CHAP ist nicht geschützt gegen Man-in-the-Middle-Attacken, hier kann sich jemand fremdes dazwischen setzen und die Daten vom Client mitlesen. Er kann auch von dem Client eine PAP Authentifizierung verlagen und diese dem als CHAP weiterleiten.
Verwendung
CHAP wird bei PPP-Verbindungen für die Authentifizierung verwendet.