Rechnernetze

Challenge-Response-Verfahren

Person A identifizieren

A muss bestimmte Handlung vollführen

B kann (Ergebnis) nachprüfen

Handlung aus Ergebnis nicht erkennbar

nicht nachvollziehbar

Handlung meist um vereinbarte Berechnung.

Challenge-Handshake Authentication Protocol (CHAP, RFC 1994)

folgende Phasen

A will seine Identität nachweisen

B (im Protokoll authenticator) will Identität von A überprüfen

B sendet Datensatz (challenge) an A.

A berechnet Wert

"Ein-Weg-Hashfunktion"

sendet diesen an B zurück.

B überprüft Antwort anhand eigener Berechnung

	Ergebnisse gleich: Authensierung erfolgreich
	Ergebnisse nicht gleich: Authensierung schlug fehl.

B sendet in zufälligen Abständen neue Anfragen an A,

A muss diese bestätigen .

CHAP bietet Schutz gegen

Playback-Angriffen durch A

sich ständig ändernder Datensatz (challenge) verwendev

B überzeugt sich nach Belieben von Identität von A

Authentisierung hägt von gemeinsamem Geheimnis ab

nur A und B bekannt

Authentisierung kann in beiden Richtungen erfolgen

Verfahren von B nach A und von A nach B

Nachteil: "Geheimnis" muss im Klartext vorliegen

	keine Ein-Weg-verschlüsselte Passwortdatenbanken verwendbar
	Geheimnis muss bei A und B verwahrt werden
	sehr großen Installation schwer zu handhaben

Standard schlägt vor,

das Geheimnis von zentralem Server

	verwaltet
	und überprüft

Schlüsselzentrum oder Zertifizierungsstelle

möglicher Hash-Algorithmus

	MD5
	muss mindestens implementiert werden
	auch andere Verfahren aushandelbar

Challenge-Response Authentication Mechanism (CRAM)

Erweiterungen dieses Verfahrens

HMAC: Keyed-Hashing for Message Authentication (RFC 2104)

	Hashing-Algorithmus mit Schlüssel
	Hashwert hängt nicht nur vom Text, sondern auch von Schlüssel ab
	Schlüssel in Datensatz (Context) vorbearbeitet gespeichert
	muss nicht mehr im Klartext vorliegen
	keine verschlüsselte Speicherung des Schlüssels!

Abfrageprotokoll für E-Mail-Server

(IMAP=Internet Message Access Protocol - Version 4rev1, RFC 2060)