CHAP (Challenge-Handshake Authentication Protocol)

Apa itu CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) adalah metode autentikasi berbasis tantangan dan respons yang digunakan oleh server Point-to-Point Protocol (PPP) untuk memverifikasi identitas pengguna jarak jauh. Proses autentikasi CHAP dimulai setelah pengguna jarak jauh menginisiasi koneksi PPP.

CHAP memungkinkan pengguna jarak jauh untuk mengidentifikasi diri mereka ke sistem autentikasi tanpa mengekspos kata sandi mereka. Dalam CHAP, sistem autentikasi menggunakan secret bersama — yaitu kata sandi — untuk membuat hash kriptografi menggunakan algoritma MD5 message digest.

CHAP menggunakan metode tiga arah (three-way handshake) untuk memverifikasi dan mengautentikasi identitas pengguna, sedangkan Password Authentication Protocol (PAP) hanya menggunakan metode dua arah (two-way handshake) dalam proses autentikasi antara pengguna jarak jauh dan server PPP.

Dirancang untuk digunakan dengan PPP dalam autentikasi pengguna jarak jauh, CHAP diterapkan secara berkala selama sesi jarak jauh untuk melakukan reautentikasi pengguna. PAP dan CHAP umumnya digunakan untuk koneksi jarak jauh melalui saluran dial-up atau sirkuit yang dialihkan, serta untuk koneksi khusus.

PAP dan CHAP sering digunakan untuk menegosiasikan koneksi jaringan ke penyedia layanan internet (ISP). CHAP ditetapkan dalam Request for Comments 1994.

Bagaimana cara kerja CHAP?

Berikut adalah cara kerja CHAP:

1. Setelah koneksi terjalin, server mengirimkan pesan tantangan ke pihak yang meminta koneksi.
2. Pihak yang meminta koneksi merespons dengan nilai yang diperoleh menggunakan fungsi hash satu arah yang dikenal sebagai MD5.
3. Server memeriksa respons dengan membandingkannya dengan perhitungan nilai hash yang diharapkan. Jika nilai cocok, autentikasi berhasil; jika tidak, koneksi biasanya diputus.

Server dapat mengirimkan tantangan baru kepada pihak yang meminta koneksi secara acak selama sesi berlangsung untuk melakukan reautentikasi. Langkah 1 hingga 3 kemudian diulangi.

Kapan saja, server dapat meminta pihak yang terhubung untuk mengirimkan pesan tantangan baru. Karena pengenal (identifier) CHAP sering berubah dan autentikasi dapat diminta oleh server kapan saja, CHAP memberikan keamanan lebih dibandingkan PAP.

Jenis paket CHAP

PPP membawa paket CHAP antara autentikator dan pihak yang meminta koneksi. Paket CHAP terdiri dari header yang mencakup hal-hal berikut:

• Kolom Code, yang berisi kode delapan bit yang mengidentifikasi jenis paket CHAP yang dikirim — nilai yang valid adalah 1 hingga 4;
• Kolom Identifier, yaitu ID delapan bit yang bersifat arbitrer yang mengidentifikasi paket sebagai bagian dari rangkaian autentikasi;
• Kolom Length, yang berisi jumlah byte dalam paket CHAP; dan
• Kolom Data, yang mencakup data apa pun yang diminta atau dikirim serta nilai yang bergantung pada jenis paket CHAP yang dikandungnya.

CHAP bekerja dengan empat jenis paket berbeda. Setiap paket diidentifikasi oleh nilai kolom Code-nya, sebagai berikut:

1. Sistem autentikasi — biasanya server akses jaringan atau switch — mengirimkan Paket Tantangan CHAP untuk memulai proses autentikasi. Setelah sesi PPP dimulai, sistem atau jaringan yang diakses dapat meminta pengguna jarak jauh untuk melakukan autentikasi. Paket Tantangan mencakup nama host autentikator.
2. Sistem pengguna jarak jauh harus mengirimkan Paket Respons CHAP sebagai respons terhadap tantangan. Sistem jarak jauh mengirimkan hash aman berdasarkan kata sandi pengguna dalam Paket Respons. Autentikator membandingkan hash kata sandi pengguna dengan nilai yang diharapkan. Jika cocok, pengguna jarak jauh berhasil diautentikasi; jika tidak, autentikasi gagal.
3. Sistem autentikasi — server akses jaringan — mengirimkan Paket Keberhasilan CHAP jika hash pengguna jarak jauh cocok dengan hash yang diharapkan oleh server.
4. Sistem autentikasi mengirimkan Paket Kegagalan CHAP jika hash kata sandi pengguna jarak jauh tidak cocok dengan nilai yang dikirim oleh pengguna.

Jika sistem jarak jauh gagal merespons Paket Tantangan, autentikator dapat mengulang prosesnya. Jika pengguna tidak dapat diautentikasi, autentikator akan mengakhiri akses pengguna jarak jauh.

CHAP vs. PAP

CHAP adalah prosedur yang lebih aman untuk terhubung ke sistem dibandingkan PAP.

Skema autentikasi PAP dan CHAP awalnya ditetapkan untuk mengautentikasi pengguna jarak jauh yang menghubungkan ke jaringan atau sistem menggunakan PPP. Protokol tiga arah CHAP memberikan perlindungan yang lebih kuat terhadap serangan peretasan kata sandi dan penyadapan jaringan dibandingkan protokol dua arah PAP.

Autentikasi dengan PAP mengharuskan pengguna jarak jauh mengirimkan nama pengguna dan kata sandi mereka, lalu sistem autentikasi akan menerima atau menolak akses berdasarkan kredensial tersebut.

CHAP mengamankan proses autentikasi dengan menggunakan protokol yang lebih canggih. CHAP menerapkan protokol tiga arah yang digunakan setelah host membangun koneksi PPP dengan sumber daya jarak jauh.

PAP mendefinisikan proses autentikasi dua arah bagi pengguna jarak jauh untuk memulai akses jarak jauh:

1. Sistem jarak jauh mengirimkan nama pengguna dan kata sandi, serta mengulang transmisi hingga server akses jaringan merespons.
2. Server akses jaringan mengirimkan konfirmasi autentikasi jika kredensial berhasil diverifikasi. Jika kredensial tidak valid, server mengirimkan negative acknowledgment (penolakan autentikasi).

Meskipun PAP dapat digunakan sebagai protokol minimum untuk memungkinkan pengguna jarak jauh menginisiasi koneksi jaringan, CHAP menawarkan protokol autentikasi yang lebih aman.