CRAM-MD5
CRAM-MD5 je v kryptografii mechanismus typu challenge-response založený na HMAC-MD5 algoritmu. Je podporován transparentní vrstvou SASL (Simple Authentication and Security Layer) a je často používán jako součást ověřování SMTP a pro autentizaci POP a IMAP uživatelů a dále také v aplikacích podporujících LDAP, XMPP, BEEP a další protokoly. Některé mechanismy přenáší heslo v „otevřené podobě“ (LOGIN a PLAIN), čímž vzniká bezpečnostní riziko jeho odposlechnutí. Proto je přednostně používán CRAM-MD5, který problém eliminuje, avšak nedokáže zabránit odvození hesla útokem hrubou silou, takže je méně účinný než alternativní mechanismy, které chrání heslo pomocí šifrovaného spojení SSL/TLS.
Výhody
Jednosměrný hash a náhodná výzva umožňují využít těchto výhod:
- Nikdo nemůže duplikovat hash bez znalosti hesla.
- Nikdo nemůže přepsat hash. Ten je totiž závislý na nepředvídatelné výzvě.
Nevýhody
- Bez vzájemného ověřování. Klient neověřuje server.
Standardy
CRAM-MD5 je definován v IETF standards-track dokumentu RFC 2195, který nahradil dřívější RFC 2095. Tyto standardy definují CRAM-MD5 jako autentizační metodu pro emailové protokoly POP a IMAP. The Internet Assigned Authority (IANA) vede registr SASL mechanismů[1] zahrnující CRAM-MD5 pro omezené použití.
Reference
V tomto článku byl použit překlad textu z článku CRAM-MD5 na anglické Wikipedii.
- Simple Authentication and Security Layer (SASL) Mechanisms [online]. IANA. Dostupné online. (anglicky)