MS-CHAP

MS-CHAPは、チャレンジ ハンドシェイク認証プロトコル(CHAP) のMicrosoftバージョンです。

このプロトコルには、MS-CHAPv1（RFC  2433で定義）とMS-CHAPv2（RFC 2759で定義）の2つのバージョンがあります。MS-CHAPv2は、 Windows NT 4.0 SP4に同梱されていたpptp3-fixで導入され、 Windows 98では「Windows 98 ダイヤルアップネットワーク セキュリティアップグレードリリース」^{[ 1 ]}、Windows 95では「MS Windows 95用ダイヤルアップネットワーク 1.3 パフォーマンス＆セキュリティアップデート」アップグレードで追加されました。Windows VistaではMS-CHAPv1のサポートが廃止されました。  

MS-CHAPは、Microsoftによる仮想プライベートネットワーク向けPPTPプロトコルの実装において、認証オプションの一つとして使用されています。また、 IEEE 802.1X（WPA-Enterpriseプロトコルを用いたWi-Fiセキュリティなど）で使用されるRADIUS ^{[ 2 ]}サーバーの認証オプションとしても使用されています。さらに、 Protected Extensible Authentication Protocol （PEAP）の主要な認証オプションとしても使用されています。

CHAPと比較すると、^{[ 3 ]} MS-CHAP：^{[ 4 ] [ 5 ]}は、LCPオプション3（認証プロトコル）においてCHAPアルゴリズム0x80（MS-CHAPv2の場合は0x81）をネゴシエートすることで動作します。認証子制御によるパスワード変更メカニズムを提供します。また、認証子制御による認証再試行メカニズムを提供し、失敗パケットのメッセージフィールドに返される失敗コードを定義します。

MS-CHAPv2 は、応答パケットにピア チャレンジを乗せ、成功パケットに認証子応答を乗せることで、ピア間の相互認証を提供します。

MS-CHAPでは、各ピアが平文パスワードまたはパスワードのMD4ハッシュのいずれかを知っている必要があり、パスワードはリンク経由で送信されません。そのため、ほとんどのパスワード保存形式とは互換性がありません。

MS-CHAPとMS-CHAPv2には脆弱性が確認されている。^{[ 6 ]} NTLMv1とMS-CHAPv2でNTLMパスワードハッシュを暗号化するために使用されるDES暗号化は、ブルートフォースの手法を利用したカスタムハードウェア攻撃を可能にする。^{[ 7 ]}

2012年の時点で、MS-CHAPは完全に破られていました。分割統治攻撃では、単一のDESキーを破るだけで済みますが、これは現代のGPUやFPGAでは難しくありません。^{[ 8 ]} MS-CHAPは全体として、プロトコルの約80%が実質的なセキュリティを提供しない、煙幕プロトコルと見なすことができます。それは単に構造を非常に複雑にし、破るのが不可能に見えるようにしているだけです。実際には、この約80%はプレーンテキストメッセージ、またはプレーンテキストで送信されたメッセージから簡単に推測できるメッセージです。実際のセキュリティの中核は、NTLMパスワードハッシュとハッシュ出力をキーとするDES暗号化に限定されていますが、これは根本的に脆弱です。

Windows 11 22H2以降、Windows Defender Credential Guardがデフォルトで有効化されているため、ユーザーはMSCHAPv2による認証ができなくなります。開発者は、MSCHAPv2ベースの接続から証明書ベースの認証（PEAP-TLSやEAP-TLSなど）への移行を推奨しています。^{[ 9 ]}

• EFF DESクラッカー