CRAM-MD5

CRAM-MD5

CRAM-MD5 (Challenge-Response Authentication Mechanism, Message Digest 5) ist ein Authentifizierungsverfahren nach dem Challenge-Response-Prinzip auf der Basis des MD5-HMAC-Algorithmus.

Es wird beispielsweise gerne zur Authentifizierung gegenüber SMTP- oder IMAP-Servern eingesetzt, da es die Übertragung des Passworts im Klartext vermeidet. Durch dieses Verfahren kann auch über unverschlüsselte Kanäle eine sichere Authentifizierung gegenüber einem Server erfolgen.

Verfahren

In RFC 2195 ist das Verfahren näher beschrieben:

  1. Der Server sendet einen String (Zahlen, Zeitstempel und voll qualifizierte Hostname des Servers) zum Client (Challenge).
  2. Der Client antwortet mit einem String aus Nutzernamen, Leerzeichen und einem „Digest“. Dieses Digest ist mehr oder weniger der MD5-Hash aus dem Passwort und dem Zeitstempel des Servers (Response).
  3. Der Server kann das erhaltene Digest überprüfen, indem er dieselbe Berechnung durchführt und das Ergebnis mit dem vom Client erhaltenen vergleicht. Dazu muss der Server allerdings das Passwort des Benutzers im Klartext separat vorliegen haben. Das ursprüngliche Passwort wurde ja im Schritt 2 durch das Hashing vom Client unkenntlich gemacht.

Die Berücksichtigung des Zeitstempels vom Server bei der Berechnung des Passwort-Hashs verhindert also, dass Angreifer über unsichere Verbindungen an die direkten Authentifizierungsmerkmale eines Benutzers gelangen können. Würde das Passwort des Benutzers lediglich gehasht, brauchte ein Angreifer nur diesen Hash abzugreifen und könnte sich damit gegenüber einem Server beliebig authentifizieren. Selbst unter Kenntnis des Zeitstempels, den der Server zum Client geschickt hat, gelingt einem Angreifer dies nicht mehr, weil sich der Zeitstempel vom Server bei jedem Authentifizierungsvorgang ändert, der Angreifer aber nicht im Besitz des Passwortes ist, um dieses inklusive des Zeitstempels hashen und selbst an den Server schicken zu können. Es besteht lediglich die Möglichkeit, den Zeitstempel des Servers und den daraus generierten Digest des Clients abzugreifen und mit verschiedenen kryptografischen Attacken, Brute-Force, Dictionary Attack, Rainbow Table usw., ausgehend von Hash und Zeitstempel wieder auf das Klartextpasswort zurück zu schließen. Da dies sehr aufwändige Prozesse sind, kann CRAM-MD5 durchaus als ausreichend sicher gelten.

Weblinks

  • RFC 2104 – Keyed MD5
  • RFC 2195 – IMAP/POP Authorize Extension for simple challenge/response

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Cram-md5 — (Challenge Response Authentication Mechanism, Message Digest 5) ist ein Authentifizierungsverfahren nach dem Challenge Response Prinzip auf der Basis des MD5 HMAC Algorithmus. Es wird beispielsweise gerne zur Authentifizierung gegenüber SMTP oder …   Deutsch Wikipedia

  • CRAM-MD5 — In cryptography, CRAM MD5 is a challenge response authentication mechanism (hence CRAM ) defined in RFC 2195 based on the HMAC MD5 MACalgorithm. It is employed by some SASLimplementations, and it is quite often supported by SMTP AUTH Mail… …   Wikipedia

  • CRAM-MD5 — В криптографии, CRAM MD5 является механизмом аутентификации вида запрос ответ (англ. challenge response authentication mechanism, отсюда «CRAM»), определенному в RFC 2195, основанному на алгоритме HMAC MD5 MAC. Он используется некоторыми… …   Википедия

  • MD5 — General Designers Ronald Rivest First published April 1992 Series MD2, MD4, MD5, MD6 Detail Digest sizes 128 bits …   Wikipedia

  • Comparison of mail servers — This is a comparison of mail servers: mail transfer agents, mail delivery agents, and other computer software which provide e mail services. Contents 1 Feature comparison 2 Authentication 3 Antispam Features …   Wikipedia

  • SMTP-Auth — (SMTP Authentifizierung, auch als ASMTP bezeichnet) ist eine Erweiterung des ESMTP Protokolls, die einem Mailserver eine Authentifizierung des Clients anhand seines Nutzernamens und Kennworts ermöglicht. Über einen SMTP Auth fähigen Server können …   Deutsch Wikipedia

  • Сравнение почтовых программ — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей …   Википедия

  • Comparison of email clients — The following tables compare general and technical features of a number of e mail client programs. Please see the individual products articles for further information. This article is not all inclusive or necessarily up to date. Contents 1… …   Wikipedia

  • SASL — Simple Authentication and Security Layer (SASL) ist ein Framework, das von verschiedenen Protokollen zur Authentifizierung im Internet verwendet wird. Es wurde im Oktober 1997 als RFC 2222 definiert und im Juni 2006 durch RFC 4422 ersetzt. SASL… …   Deutsch Wikipedia

  • Список RFC — Здесь представлен список RFC (документ запроса комментариев). Поскольку на данный момент их существует более 5000, то в данном списке представлены лишь наиболее значимые из них, по которым существуют связанные с ними статьи. Содержание 1 RFC по… …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”