פורסם ב על ידי ג'ניפר ספנסר
CHAP הוא סוג של אישור שבו מומחה האימות (בדרך כלל שרת מערכת) שולח לתוכנית הלקוח מזהה וערך אקראי שמנוצל רק פעם אחת. גם השולח וגם הנלווה חולקים ערך ייחודי מוגדר מראש. המלווה מקשר בין הערך האקראי, המזהה והתעלומה ומחשב גיבוב של כיוון יחיד תוך שימוש ב-MD5. ערך ה-hash נשלח אל המאמת, ובכך מייצר את המחרוזת המקבילה שלו צד, מוודא את הסיכום של MD5 עצמו ועומד בניגוד לתוצאה והערך שהתקבל מה- לוויה. במקרה שהאיכויות מתואמות, המלווה מקבל תוקף.
Technipages מסביר את CHAP
CHAP מבטיחה שהשרת שולח בדיקה ללקוח לאחר שהלקוח בונה שיוך מערכת עם גישה לשרת אינטרנט/ISP. בדיקה זו מתקבלת באמצעות קו שיטתי דומה. הלקוח משתמש בקיבולת hash כדי לברר ערך מסוים שנשלח לאחר מכן לשרת, התואם את הערך המתקרב מול הערך המחושב שנקבע מראש של השרת.
עמיתים מקבלים שיטה זו ושולחים באופן עקבי ערכים מחושבים שנקבעו מראש לשרת מאשר, אשר מאמת עמיתים בהתאם לערכים המחושבים. השרת יכול גם לדרוש מהצד המשויך לשלוח הודעת בדיקה נוספת. מאחר שמזהי CHAP משתנים הרבה מהזמן ובנימוק שניתן להזכיר אישור על ידי השרת בכל פעם, CHAP נותן יותר אבטחה מ-PAP. RFC1334 מאפיין גם את CHAP וגם את PAP.
שימושים נפוצים של CHAP
- בחור מספק הגנה באמצעות שימוש במזהה המשתנה בהדרגה ובערך אתגר משתנה
- בחורמספק הגנת אבטחה מתקדמת יותר מאשר (PAP)
- כשמשתמש בחור, גם הלקוח וגם השרת יודעים את הטקסט הפשוט של הסוד.
שימוש לרעה נפוצ של CHAP
- בחור אינו מחייב שללקוח ולשרת יהיה סוד משותף