CRAM-MD5

Z Wikipedie, otevřené encyklopedie

CRAM-MD5 je v kryptografii mechanismus typu challenge-response založený na HMAC-MD5 algoritmu. Je podporován transparentní vrstvou SASL (Simple Authentication and Security Layer) a je často používán jako součást ověřování SMTP a pro autentizaci POP a IMAP uživatelů a dále také v aplikacích podporujících LDAP, XMPP, BEEP a další protokoly. Některé mechanismy přenáší heslo v „otevřené podobě“ (LOGIN a PLAIN), čímž vzniká bezpečnostní riziko jeho odposlechnutí. Proto je přednostně používán CRAM-MD5, který problém eliminuje, avšak nedokáže zabránit odvození hesla útokem hrubou silou, takže je méně účinný než alternativní mechanismy, které chrání heslo pomocí šifrovaného spojení SSL/TLS.

Výhody[editovat | editovat zdroj]

Jednosměrný hash a náhodná výzva umožňují využít těchto výhod:

  • Nikdo nemůže duplikovat hash bez znalosti hesla.
  • Nikdo nemůže přepsat hash. Ten je totiž závislý na nepředvídatelné výzvě.

Nevýhody[editovat | editovat zdroj]

  • Bez vzájemného ověřování. Klient neověřuje server.

Standardy[editovat | editovat zdroj]

CRAM-MD5 je definován v IETF standards-track dokumentu RFC 2195, který nahradil dřívější RFC 2095. Tyto standardy definují CRAM-MD5 jako autentizační metodu pro emailové protokoly POP a IMAP. The Internet Assigned Authority (IANA) vede registr SASL mechanismů[1] zahrnující CRAM-MD5 pro omezené použití.

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku CRAM-MD5 na anglické Wikipedii.

  1. Simple Authentication and Security Layer (SASL) Mechanisms [online]. IANA. Dostupné online. (anglicky)