CRAM-MD5

CRAM-MD5 je v kryptografii mechanismus typu challenge-response založený na HMAC-MD5 algoritmu. Je podporován transparentní vrstvou SASL (Simple Authentication and Security Layer) a je často používán jako součást ověřování SMTP a pro autentizaci POP a IMAP uživatelů a dále také v aplikacích podporujících LDAP, XMPP, BEEP a další protokoly. Některé mechanismy přenáší heslo v „otevřené podobě“ (LOGIN a PLAIN), čímž vzniká bezpečnostní riziko jeho odposlechnutí. Proto je přednostně používán CRAM-MD5, který problém eliminuje, avšak nedokáže zabránit odvození hesla útokem hrubou silou, takže je méně účinný než alternativní mechanismy, které chrání heslo pomocí šifrovaného spojení SSL/TLS.

Výhody

Jednosměrný hash a náhodná výzva umožňují využít těchto výhod: * Nikdo nemůže duplikovat hash bez znalosti hesla.

* Nikdo nemůže přepsat hash. Ten je totiž závislý na nepředvídatelné výzvě.

Nevýhody

Bez vzájemného ověřování. Klient neověřuje server.

Standardy

CRAM-MD5 je definován v IETF standards-track dokumentu RFC 2195, který nahradil dřívější RFC 2095. Tyto standardy definují CRAM-MD5 jako autentizační metodu pro emailové protokoly POP a IMAP. +more The Internet Assigned Authority (IANA) vede registr SASL mechanismů zahrnující CRAM-MD5 pro omezené použití.

Reference

Kategorie:Kryptografie