CHAPとOTPの違い

こんばんは。
CHAPとOTPの意味の違いについて教えてください。

IT用語辞典（http://e-words.jp/）によると

CHAPは・・・
まず「チャレンジ」と呼ばれる乱数文字列をサーバからクライアントに送る。クライアントはこれを元に自身のパスワードを暗号化して返す。サーバはクライアントのパスワードを記憶しているので、同様の暗号化をして、その結果とクライアントから返された暗号とを比較することでユーザの認証を行なうことができる。

OTPは・・・
まずサーバが端末に認証文字列の「種」となるランダムな文字列(「チャレンジ」と呼ばれる)を送信する。
　ユーザは自分しか知らない秘密のパスワードを端末に入力する。端末に備えられたソフトウェアがサーバから送られてきたチャレンジ文字列とユーザが入力したパスワードを一定の手順に従って演算し、生成された結果(「レスポンス」と呼ばれる)をサーバに送信する。

とほぼ同じ意味に受け取れる内容がでてきます。
しかし一般にCHAP=OTPとは聞いたことがありません。

どのように違うのでしょうか?

No.3 ベストアンサー 回答者： wirelessml 回答日時： 2006/08/08 00:47

　広い意味での「ユーザ認証」の方法として・・・

1.固定Password
2.OneTimePassword
3.電子署名による認証（公開鍵暗号方式）
4.発信者番号認証
5.バイオメトリクス認証
などがありますが、2.をさらに細かく分けると・・・
(1)時刻同期方式・・・OTP生成器を利用
(2)カウンタ方式（S/KEY）・・・使い捨てパスワードによる認証システム（これもハッシュ関数を利用）
(3)Challenge-Response方式（共通鍵暗号方式）
となります。
この「チャレンジ（暗号化されたパスワード）」を利用するプロトコルとしてCHAPだったり、CRAM-MD5がありますね。

CHAP・・・PPPにおけるユーザ認証方式の一つ。PPPのリンク確率後、一定の周期で「チャレンジ」メッセージを送信することによってユーザ認証を繰り返す。ユーザ名＆パスワードを暗号化して交換する為、PAPと比較して安全性が高い。

『テクニカルエンジニア ネットワーク 合格への道2006年版』P119より

参考URL：https://www.pirosi.dip.jp/kaji/Digest.html

No.4 回答者： wirelessml 回答日時： 2006/08/15 17:15

　802.1X認証では、MACフレームに認証情報を付けて送信することが必要です。

この認証情報を送信する手法として、様々な認証方式（OTP・TLS・MD5・トークンカード）を利用できるようにする必要があります。そこで、PPPの認証方式のEAPが802.1Xのプロトコルとして採用されました。EAPパケットをMACフレームに挿入して送信します。これをEAPoverLANsと言います。

　このEAPoLのフレームは以下のような構成になっています。

宛先MAC+送信元MAC+イーサタイプ+プロトコルバージョン+パケットタイプ+パケット長+パケットボディ+FCS

宛先MAC（48bit）・・・01:80:c2:00:00:03
送信元MAC（48bit）・・・EAPoLフレームを送信する端末のMACアドレス
イーサタイプ（16bit）・・・88:8e
プロトコルバージョン（8bit）・・・02

パケットタイプ（8bit）・・・00・01・02・03・04の五種類がある。
　00・・・パケットボディにEAPパケットが挿入されていることを示す
　01・・・EAPoL開始フレーム
　02・・・EAPoL終了フレーム
　03・・・EAPoLキーフレーム（アクセスポイントからサプリカントにキー情報を送信する為に用いる）
　04・・・SNMP trapなど、AlertingStandardsForumで規定されたアラート情報を送信する為に用いる

パケット長（16bit）・・・パケットボディの長さ

パケットボディ・・・認証に必要なEAPパケット・EAPoLキー情報など、パケットタイプに応じたメッセージが入る。EAPパケットは、コード+ID+長さ+データ

コード・・・要求、応答、成功、失敗のいずれかが設定
ID・・・要求と応答を対応付ける為のもの。アクセスポイントが新しいEAP要求フレームを発行する度に、値が決まる。
長さ・・・コードからデータまでのEAPパケット全体の長さ
データ・・・タイプと、タイプに応じたデータから構成。タイプの種類には、IDentity・MD5・OTP・EAP-TLSなどがあり、サプリカントとアクセスポイント間で、ユーザIDの識別や認証方式の折衝を行う為に使用される。



　802.1X認証を使用すると、WEPキーをアクセスポイントから無線端末に自動的に通知できます。WEPキーは「キー情報フィールド」に格納されます。WEPキーとして104bitのキー長を使用する時には、キー情報フィールドに104bitのデータが入ります。

参考URL：https://pirosi.dip.jp/kaji/FreeRADIUS.html

この回答へのお礼

返信遅れましてすみません。
大変詳細なご回答ありがとうございました。
・ＯＴＰは認証方式の一概念。
・ＯＴＰの分類の一つにchallenge and responseがある（これもまた概念）
・一方chapはchallengeの概念を使い、実装段階まで仕様化されたプロトコル
という理解に達しました。

お礼日時：2006/08/15 23:18

No.2 回答者： uho2006 回答日時： 2006/08/08 00:29

基本はクライアントが使用するパスワードの違いだニョ

CHAPはずっと同じパスワードを使う。
OTPは使用するパスワード自体が毎回変わる。

CHAPは乱数により暗号化されているものを通信経路に流すので盗聴されてもOK。（乱数は毎回変わる）
OTPは毎回、毎回、パスワードが変わるので盗聴されてもOK。

No.1 回答者： wirelessml 回答日時： 2006/08/06 22:59

　データリンク層においてPPP接続をする為には、ユーザIDとパスワードによる認証が行われますが、ChallengeHandshakeAuthenticationProtocol方式を利用します。

　CHAP方式とは毎回パスワードを変更する「OneTimePassword」という仕組みを利用して、盗聴の問題を防ぎます。また、コネクション確立後も定期的にパスワードを交換する事により、通信相手が途中から入れ替わっていないかどうかをチェックします。

以上、『マスタリングTCP/IP入門編（第３版）』97ページからでした。