SEVENSTAX CRAM-MD5

Das CRAM-MD5 ist ein Authentifizierungsverfahren nach dem Challenge-Response-Prinzip auf der Basis des MD5-HMAC-Algorithmus. Beim Challenge-Response-Verfahren sendet der eine Teilnehmer eine Zufallszahl an den anderen Teilnehmer. Dieser verschlüsselt die Zufallszahl mit dem Namen und Passwort und sendet den resultierenden Wert wieder zurück. Der erste Teilnehmer führt die gleiche Verschlüsselung durch und überprüft das Ergebnis mit dem zugesendeten Wert.

Das CRAM-MD5 wird für die Verschlüsselung von Passwörtern und zur Erstellung von Zertifikaten verwendet und gilt als sicher, da es noch nicht gelungen ist, einen Pre-Image-Angriff erfolgreich durchzuführen.

Das CRAM-MD5 vermeidet die Übertragung des Passworts im Klartext und ermöglicht somit eine Authentifizierung auch über unverschlüsselte Kanäle.

Benutzt wird es z.B. zur Anmeldung an SMTP- oder IMAP-Servern. Das MD5 ist auch Bestandteil des „HTTP Digest access authentication“ des Web-Servers.

  • nach RFC 2104 – Keyed MD5
  • nach RFC 2195 – IMAP/POP Authorize Extension for simple challenge/response

Das Verfahren ist auch ähnlich dem des Challenge Handshake Authentication Protocols (CHAP), mit dem Unterschied, dass es durch Verwendung des Keyed-MD5 (HMAC) nicht erforderlich ist, die Passwörter im Klartext auf dem Server zu speichern.