MS CHAP и MS CHAP версии 2
Windows 2000 включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP – это протокол проверки подлинности с необратимым шифрованием пароля.
Windows 2000 включает поддержку протокола MS CHAP, который предоставляет более сильную защиту для соединения удаленного доступа. MS CHAP v2 решает некоторые проблемы функционирования MS CHAP версии 1 (табл. 19.13).
MS CHAP версии 2 – это протокол взаимной проверки подлинности с односторонним шифрованием пароля.
Таблица 19.13. Сравнение MS CHAP версий 1 и 2.
| Проблемы MS CHAP версии 1 | Решение в MS CHAP версии 2 | |
|---|---|---|
| Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шифрование | MS CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager | |
| Кодирование пароля по схеме LAN Manager использует слабое шифрование | MS CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager | |
| Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа | MS CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился | |
| При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ | При использовании MS CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ | |
| Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения | Используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных | |