ISDN ルータの場合、認証の相手は ISDN 回線の向こう側にある機器という ことになります。以下のような認証手順を利用することができます。
着信した時に、どこからかかってきたのかを網が端末に通知することがで きます。これを発信者番号通知と呼びます。日本国内では現在のところ、ISDN 網でしか提供されていない機能ですが、1997 年から NTT のアナログ網でもこ のサービスが提供される予定です。
この認証の弱点は、電話を着信した時にしか使えないということです。発 信する時にはどの番号にかけているのかは分かっているからいいじゃないかと いう気がしますが、着信転送などの技術を用いるとある番号にかけてもそれを 転送してしまって、最終的には全く違う番号のところに着信しているなんてこ とも可能です。
ログインは UNIX マシンにログインする仕組みをそのまま使うか、あるい はそれを模倣したものです。認証する側は Login:、Password: というプロン プトを相手に送信して、相手からユーザ ID とパスワードを受け取ります。
この方法の欠点は、1) パスワードが平文のまま回線上を流れるので盗聴に 弱い、2) 一方向の認証しか行えない、3) ISDN ルータで用いられる同期通信 との相性が悪い、ということが上げられます。ISDN ルータでは滅多に用いら れることはありませんが、特に UNIX マシンを着信側にした非同期通信による PPP 接続では用いられることがあります。
PAP(Password Authentication Protocol、パップと発音します)は RFC1334 に規定されたプロトコルで、PPP の一部です。PPP の枠組の中で、ログイン認 証と同様にユーザ ID とパスワードを送信します。PAP は UPAP と呼ばれるこ ともあります。
PAP の利点は 1) ISDN ルータでも使いやすい、2) 実装が簡単、3) 双方向 で認証が可能、ということが上げられます。欠点としてはログイン認証と同様、 パスワードが平文のまま回線上を流れるので盗聴に弱い、ということが上げら れます。実装が簡単であるため、広く用いられています。
CHAP(Challenge Handshake Authentication Protocol、チャップと発音し ます)は RFC1334 に規定されたプロトコルで、PPP の一部です。ただし、 RFC1334 の CHAP に関する部分はもうすぐ新しい RFC で更新されます。
CHAP の一番の特徴は、パスワードが平文で回線上を流れることがないとい うことです。そのため、CHAP で用いるパスワードはシークレットと呼ばれま す。シークレットは MD5 というハッシングアルゴリズムによって 128 ビット (16 バイト)の値にハッシングされてから回線上に流されます。MD5 は復号が 不可能であることが知られているため、回線を盗聴されてもシークレットがど んな値であるかを知ることはできません。
Windows 95/NT を始め、多くの製品ではこの MD5 によるハッシ ングを暗号化と呼んでいます。しかし、MD5 では入力がいかなる長さであろう と出力は 128 ビットに固定されていることからも分かる通り、その出力から 入力を復号できないアルゴリズムです。ですから、これを暗号と呼ぶのは正し くないということになります。
CHAP の利点は PAP と同様、1) ISDN ルータでも使いやすい、2) 双方向で 認証が可能、ということが上げられます。欠点としては、時々サポートしてい ない機器がある、ということが上げられます。しかし、最近ではサポートして いない機器は滅多に見掛けなくなりました。
Windows 95/NT では MS-CHAP と呼ばれる、MD5 とは異なる Microsoft 独 自のハッシングアルゴリズムを用いた CHAP をサポートしています。これは普 通の MD5 CHAP とは接続できないので注意が必要です。また、改定される RFC では、MD5 以外に DES や Kerberos といったアルゴリズムを用いる方法が規 定される予定ですが、MS-CHAP はそれには含まれません。