챌린지-핸드셰이크 인증 규약
챌린지-핸드셰이크 인증 규약(Challenge-Handshake Authentication Protocol, CHAP)은 컴퓨팅에서 원래 PPP(점대점 프로토콜)에서 사용자를 확인하는 데 사용되는 인증 프로토콜이다. CHAP는 RADIUS 및 다이어미터와 같은 다른 인증 프로토콜에서도 전달된다.
대부분의 네트워크 액세스 서버와 마찬가지로 거의 모든 네트워크 운영체제는 CHAP가 포함된 PPP를 지원한다. CHAP는 DSL 사용자를 인증하기 위해 PPPoE에서도 사용된다.
PPP는 암호화되지 않은 "일반" 데이터를 전송하므로 CHAP는 PPP 세션을 관찰할 수 있는 모든 공격자에게 취약한다. 공격자는 사용자 이름, CHAP 챌린지, CHAP 응답 및 PPP 세션과 관련된 기타 정보를 볼 수 있다. 그런 다음 공격자는 원래 비밀번호를 얻기 위해 오프라인 사전 공격을 수행할 수 있다. PPP에서 사용될 때 CHAP는 일반적으로 네트워크 액세스 서버인 인증자에 의해 생성된 챌린지를 사용하여 피어의 재생 공격으로부터 보호한다.
CHAP가 다른 프로토콜에서 사용되는 경우 일반 형식으로 전송되거나 TLS(전송 계층 보안)와 같은 보안 계층으로 보호될 수 있다. 예를 들어 CHAP가 UDP(사용자 데이터그램 프로토콜)를 사용하여 RADIUS를 통해 전송되면 RADIUS 패킷을 볼 수 있는 공격자는 PPP와 마찬가지로 오프라인 사전 공격을 실행할 수 있다.
CHAP에서는 클라이언트와 서버 모두 암호의 일반 텍스트 버전을 알아야 하지만 암호 자체는 네트워크를 통해 전송되지 않는다. 따라서 PPP에서 사용될 때 CHAP는 이러한 두 가지 이유로 취약한 PAP(비밀번호 인증 프로토콜)에 비해 더 나은 보안을 제공한다.