Passwort Challenge Response

		INFO & WISSEN

Bei Verfahren auf diesem Prinzip, muss der Authentisierende die richtige "Antwort" auf eine "Aufgabe", die ihm vom authentifizierendem System gestellt wird, finden.

Challenge Response Passwortverfahren

Dazu existieren 2 etwas unterschiedliche Varianten, wobei die Challenge des Authentifizierungssystems eine Zufallszahl darstellt.

"Verschlüsselte Challenge"

Das System, dass nur den kryptographischen Hash-Wert des Passwortes kennt, übermittelt eine Zufallszahl als "Challenge". Am Eingabeterminal wird das eingegebene Passwort mit dem definierten Hash-Algorithmus verhasht. Der erhaltene Wert wird als kryptographischer Schlüssel für eine definierte Verschlüsselung der Challenge verwendet. Das Authentifizierungssystem entschlüsselt mit dem ihm bekannten Hash-Wert den erhaltenen verschlüsselten "Response" und vergleicht den Wert mit der gestellten Challenge. Bei Übereinstimmung wurde das richtige Passwort eingegeben.



	Challenge Response - Crypt Die Challenge wird mit einem symmetrischen Verfahren verschlüsselt.

"Verhashte Challenge"

Der Unterschied zur vorigen Variante besteht darin, dass am Eingabeterminal die Challenge nicht verschlüsselt wird, sondern auf andere Art und Weise mit dem Hash-Wert des Passwortes kombiniert wird. Das kann beispielsweise wiederum ein kryptographischer Hash-Algorithmus über die Challenge und den Hash-Wert des Passworts sein. Das Authentifizierungssystem führt die gleiche Berechnung mit der gestellten Challenge und dem bekannten Hash-Wert des Passworts durch und bekommt so die "Soll-Response", die mit der erhaltenen "Ist-Response" verglichen wird. Bei Übereinstimmung wurde das Passwort richtig eingegeben.

Vorteil von diesen Verfahren ist, dass jemand über den Übertragungsweg nur zufällige Werte bekommen kann und am Authentifizierungssystem das eigentliche Passwort nie verarbeitet wird. Viele modernere Passwortsysteme arbeiten nach diesem Muster, z.B. MS-CHAP.

Nachteil ist, dass die Eingabe weiterhin nicht sicher gestaltet ist - hier kann weiterhin das Passwort einfach kompromittiert werden. Um diesen Weg zu erschweren sollte die Eingabe zusätzlich abgesichert werden, indem man vertrauenswürdige Geräte benutzt. Das könnte einerseits eine Smart Card sein, oder der One-Time-Pass - Token eines One-Time-Pass - Systems.

Ein Administrator des Authentifizierungssystem hat Zugriff zu den Hash-Werten der Passwörter. Diese Hash-Werte kann ein böswilliger Administrator nicht direkt verwenden, sondern er müsste die Eingabeprozedur manipulieren. Um diesen durchaus vorstellbaren Angriff zu verhindern, könnte man die Verifikation des Beweises überhaupt ohne Geheimnis gestalten, sprich man verwendet asymmetrische Verfahren, z.B. eine PKI, wo mit öffentlich verfügbaren Informationen die Verifikation durchgeführt werden kann.



	Challenge Response - Hash Die Challenge wird mit dem Passwort-Hash-Wert verhasht. Die Ist-Response wird mit dem Soll-Response -Wert verglichen

Diffie Hellman Schlüsseltausch

Interessant ist auch, dass Passwortverfahren mit Diffie Hellman Techniken kombiniert wurden. Beispiele dafür sind EKE (Encrypted Key Exchange) AEKE (Augmented EKE) und SPEKE (Simple Password authenticated Exponential Key Exchange).

Challenge Response mit PKI

One-Time-Pass - Systeme

PAP, MS-CHAP, etc.

Hash