PAP - Password Authentification Protocol
CHAP - Challenge Handshake Authentication Protocol

PAP stellt eine Form der Echtheitsbestätigung dar, bei der Klartextkennwörter verwendet werden und die die einfachste Art des Echtheitsbestätigungsprotokolls darstellt. Diese Form der Authetifizierung kann allerhöchstens in kleine Lokalen Netzen akzeptiert werden, keinesfalls jedoch in grösseren und öffentlichen Netzen.

CHAP stellt dazu eine erhöhte Sicherheitsstufe dar und wird vielfach verwendet um sich beispielsweise gegenüber einem Internetprovider bei einem Einwählvorgang per Passwort zu authenzifizieren. CHAP wurde 1996 unter RFC 1994 als Draft Standard für Authentifizierung über das PPP Protokoll (Point-to-Point-Protocol) vorgeschlagen.

PPP ist ein Punkt-zu-Punkt Protokoll auf der Sicherungsschicht, das Funktionen zur Rahmenerstellung, Fehlerüberwachung und ein Verbindungssteuerprotokoll zum Anschalten und Testen von Leitungen bereitstellt. PPP dient dazu, eine Vielzahl von Pakten unterschiedlicher Protokolle verpackt über eine Punkt-zu-Punkt-Leitung (z.B. eine Telefonleitung) zu versenden. Die Nutzdaten können dabei so unterschiedliche Protokolle wie IP-, IPX- oder Appletalkpakete enthalten (Tanenbaum, 1998).

Das CHAP-Protokoll benutzt nun folgende Schritte:

• Serverrechner ('Authentikator') sendet eine 'challenge' Message mit einem zufälligen Challenge-Wert zum Client-Rechner
• Client antwortet mit einem Wert, den er mit Hilfe einer Einweg-Hash-Funktion und dem Passwort aus dem Challenge-Wert berechnet hat.
• Der Authentifikator überprüft die Antwort gegen seine eigene Berechnung des Hash-Wertes. Stimmen die Werte überein, ist der Client authentifiziert, sonst wird er abgewiesen.
• In zufälligen Abständen sendet der Authentifikator eine erneute Challenge zum Client und wiederholt die Schritte 1-3

Als Hashfunktion kann z.B. MD5 verwendet werden (RFC 1994)