前書き
PAP(パスワード認証プロトコル)は、単純なプレーンテキスト認証方式です。NAS(ネットワークアクセスサーバー)はユーザーにユーザー名とパスワードを提供するよう要求し、PAPはユーザー情報をプレーンテキストで返します。この認証方法のセキュリティは明らかに低く、第三者は送信されたユーザー名とパスワードを簡単に取得し、この情報を使用してNASとの接続を確立し、NASが提供するすべてのリソースを取得します。したがって、ユーザーのパスワードが第三者によって盗まれると、PAPは第三者の攻撃に対する保護策を提供できなくなります。
CHAP(チャレンジハンドシェイク認証プロトコル)は、接続を確立するときにユーザーの実際のパスワードを送信することを回避できる暗号化された認証方法です。NASは、セッションIDと任意のチャレンジ文字列(任意のチャレンジ文字列)を含むチャレンジパスワードをリモートユーザーに送信します。リモートクライアントは、MD5一方向ハッシュアルゴリズムを使用して、ユーザー名と暗号化されたチャレンジパスワード、セッションID、ユーザーパスワードを返す必要があります。ユーザー名は非ハッシュ方式で送信されます。
CHAPはPAPを改善します。リンクを介してプレーンテキストのパスワードを直接送信する代わりに、チャレンジパスワードを使用してハッシュアルゴリズムでパスワードを暗号化します。クライアントの平文パスワードはサーバーに格納されるため、サーバーはクライアントが実行した操作を繰り返し、その結果をユーザーが返したパスワードと比較できます。CHAPは、認証ごとにチャレンジ文字列を任意に生成して、リプレイアタックを防止します。接続プロセス全体を通じて、CHAPはチャレンジパスワードをクライアントに繰り返し送信して、サードパーティがリモートクライアント(リモートクライアントの偽装)攻撃を装うのを防ぎます。