CAP

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 6 de octubre de 2014; las comprobaciones requieren 19 ediciones .

CHAP ( Challenge Handshake Authentication Protocol ) es un protocolo de autenticación con negociación indirecta .  Es un algoritmo de autenticación y prevé la transmisión no de la contraseña del usuario en sí, sino de información indirecta sobre ella. La autenticación de nodos se realiza mediante un procedimiento de negociación de tres pasos [1] [2] . El protocolo CHAP es ampliamente utilizado por varios proveedores de servidores y clientes de acceso a la red [3] . Definido en RFC 1994 .

Cómo funciona

Es posible destacar un ciclo, que consta de tres partes principales [1] :

1. Una vez que se establece la conexión PPP y ambas partes acuerdan conectarse a través del protocolo CHAP, el autenticador envía un paquete CHAP al nodo del tipo Desafío, que contiene la clave pública .
2. En función de la clave pública recibida y su secreto , el nodo calcula un hash utilizando el algoritmo de hash MD5 y envía un paquete CHAP de tipo Response (respuesta) que contiene el hash calculado.
3. El autenticador compara el valor hash recibido con su propio cálculo del valor hash esperado. Si los valores coinciden, la autenticación se considera exitosa. Si los valores son diferentes, la conexión se rompe.

En varios intervalos, el autenticador envía una nueva solicitud al nodo y se repiten los pasos 1-3 [4] [5] .

Estructura de los paquetes CHAP

El campo de información de los paquetes PPP con campo de protocolo 0xc223 encapsula un solo paquete CHAP que contiene los siguientes campos [6] [7] :

• Código (Código). El campo Código, que tiene una longitud de un octeto , identifica el tipo de paquete CHAP y puede tomar uno de los siguientes valores:

1. Desafío (llamar, verificar);
2. Respuesta (respuesta);
3. Éxito (éxito);
4. Fracaso (fracaso).

• Identificador (Identificador). El campo Identificador, que tiene una longitud de un octeto, permite una identificación adicional según el tipo de paquete. Participa en la negociación de solicitud, respuesta y acuse de recibo.

• Longitud (Longitud). El campo Longitud, de dos octetos, especifica la longitud del paquete CHAP, incluidos todos los campos (código, identificador, longitud y datos).

• Datos (Datos). La longitud del campo de datos es cero o más octetos. Contiene datos en el formato especificado por el campo de código.

Requisitos de la arquitectura

1. La longitud del secreto debe ser de al menos 1 octeto. El secreto debe tener preferiblemente la misma longitud que el valor hash de la función hash que se utiliza (16 octetos para MD5 ). Esto es necesario para proporcionar un rango lo suficientemente grande para el secreto, con el fin de protegerlo contra ataques de repetición [8] .
2. Cada valor de solicitud debe ser global y temporalmente único y completamente impredecible para que un atacante no pueda engañar a un nodo con una solicitud futura predecible y enviar una respuesta al autenticador [8] .

Beneficios

• CHAP brinda protección contra ataques de reproducción. Dicha protección se logra debido al valor creciente del identificador y el valor variable de la clave pública [9] .
• El método de autenticación se basa en el hecho de que el autenticador y el par conocen el secreto , que nunca se envía por el canal. Esta es la razón por la que CHAP proporciona una mejor seguridad que PAP [9] [10] .
• Aunque la autenticación es unidireccional, las negociaciones CHAP se pueden llevar a cabo en ambas direcciones utilizando el mismo secreto, proporcionando autenticación mutua [2] .

Desventajas

• CHAP requiere que el secreto esté disponible en forma clara (sin cifrar). No se pueden utilizar bases de datos de contraseñas cifradas irreversiblemente [11] .
• Poca aplicación para proyectos grandes con una gran cantidad de participantes, ya que cada secreto debe almacenarse en ambos extremos del canal [9] .

Véase también

• PAPILLA
• MS-CHAP

Notas

1. ↑ 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. Un Análisis Comparativo de Herramientas para la Verificación de Protocolos de Seguridad  . - 2010. - Pág. 785 . Archivado desde el original el 23 de septiembre de 2017.
2. ↑ 1 2 Cisco - PPP CAP  . Archivado desde el original el 24 de diciembre de 2017.
3. ↑ Microsoft Technet-  CHAP . Archivado desde el original el 24 de diciembre de 2017.
4. ↑ W. Simpson. Protocolo de autenticación por desafío mutuo PPP (CHAP  ) . - 1996. - Pág. 2 . Archivado desde el original el 8 de marzo de 2021.
5. ↑ MW Youssef, Hazem El-Gendy. Protección de la autenticación de la capa dos de TCP/IP mediante la modificación del protocolo de autenticación por desafío mutuo  (inglés)  // Computación avanzada: una revista internacional. - 2012. - Marzo. — Pág. 11 . Archivado desde el original el 24 de diciembre de 2017.
6. ↑ W. Simpson. Protocolo de autenticación por desafío mutuo PPP (CHAP  ) . - 1996. - Pág. 6 . Archivado desde el original el 8 de marzo de 2021.
7. ↑ MW Youssef, Hazem El-Gendy. Protección de la autenticación de la capa dos de TCP/IP mediante la modificación del protocolo de autenticación por desafío mutuo  (inglés)  // Computación avanzada: una revista internacional. - 2012. - Marzo. — Pág. 12 . Archivado desde el original el 24 de diciembre de 2017.
8. ↑ 12 W. Simpson . Protocolo de autenticación por desafío mutuo PPP (CHAP ) . - 1996. - Pág. 4 . Archivado desde el original el 8 de marzo de 2021.  
9. ↑ 1 2 3 W. Simpson. Protocolo de autenticación por desafío mutuo PPP (CHAP  ) . - 1996. - Pág. 3 . Archivado desde el original el 8 de marzo de 2021.
10. ↑ Microsoft Technet-  PAP . Archivado desde el original el 24 de diciembre de 2017.
11. ↑ Guy Leduc. Verificación de dos versiones del Challenge Handshake Authentication Protocol (CHAP  ) . - 1999. - Febrero. — Pág. 1 . Archivado desde el original el 24 de diciembre de 2017.

Literatura