| CHAP bietet Schutz gegen
| Playback-Angriffen durch A
| sich ständig
ändernder Datensatz (challenge) verwendev |
|
| B überzeugt sich nach
Belieben von Identität von A |
|
Authentisierung hägt von gemeinsamem Geheimnis ab |
| nur A und B bekannt |
| Authentisierung kann in beiden Richtungen erfolgen
| Verfahren von B nach A und von A nach B |
|
|
| Nachteil: "Geheimnis" muss im Klartext vorliegen
| keine Ein-Weg-verschlüsselte Passwortdatenbanken
verwendbar |
| Geheimnis
muss bei A und B verwahrt werden |
| sehr
großen Installation schwer zu handhaben |
|
| Standard schlägt vor,
| das Geheimnis von zentralem Server
| verwaltet |
| und überprüft |
|
| Schlüsselzentrum oder Zertifizierungsstelle |
|
| möglicher Hash-Algorithmus
| MD5 |
| muss mindestens
implementiert werden |
| auch andere Verfahren aushandelbar
|
|
| Challenge-Response
Authentication Mechanism (CRAM)
| Erweiterungen dieses Verfahrens |
| HMAC:
Keyed-Hashing for Message Authentication (RFC 2104)
| Hashing-Algorithmus mit Schlüssel |
| Hashwert hängt nicht nur vom Text, sondern auch von
Schlüssel ab |
| Schlüssel in Datensatz (Context)
vorbearbeitet gespeichert |
| muss nicht mehr im Klartext vorliegen |
| keine verschlüsselte Speicherung des
Schlüssels! |
|
|
Abfrageprotokoll für E-Mail-Server |
| (IMAP=Internet Message Access Protocol -
Version 4rev1, RFC 2060) |
|