チャレンジ・レスポンス認証

チャレンジ・レスポンス認証 とは †

• チャレンジ・レスポンス方式を使ったワンタイムパスワード認証のこと

仕組み †

• 暗号技術を使った認証。
• パスワード自体を送信せずに、パスワードを所有することを証明することで認証する。
• パスワードのことを「seed」と呼ぶ。

効果 †

• パスワードの漏洩を防ぐことができる
• リプレイ攻撃を防ぐことができる

フロー †

• 認証サーバは要求文字列（チャレンジ）を生成してクライアントに送信する。
  • 擬似乱数生成器を使ってチャレンジを生成する
• クライアントはチャレンジとパスワード（seed）を元に応答文字列（レスポンス）を生成して認証サーバに送信する。
  • ハッシュ関数(MD5など)を使ってレスポンスを生成する。
• 認証サーバはクライアントと同じ手順でレスポンスを生成して、クライアントから受信した応答文字列(レスポンス)と比較して一致していた場合は認証可と判断する。
• セッションを確立する。

補足 †

• メッセージダイジェスト
  • チャレンジとパスワードを元にハッシュ関数を使って生成したハッシュ値のこと。

CHAP †

• Challenge Handshake Authentication Protocol
• チャレンジ・レスポンス方式によるワンタイムパスワード認証を実装した認証プロトコル
• PPP(Point to Point Protocol)で使われている認証方式の一つ。

S/Key方式 †

• 「S/Key」参照

活用例 †

• Digest認証
• SMTP-AUTH
• APOP
• RADIUS

関連用語 †

• 暗号化
• ワンタイムパスワード認証
• ゼロ知識証明
• CRAM