MS-CHAP version 2

Windows 2000 は、リモート アクセス接続用の強力なセキュリティを提供する MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol: Microsoft チャレンジ ハンドシェイク認証プロトコル) をサポートしています。次の表に示すように、MS-CHAP v2 では、MS-CHAP Version 1 の問題がいくつか解決されています。

MS-CHAP Version 1 の問題 MS-CHAP Version 2 の解決方法
古いバージョンの Microsoft リモート アクセス クライアントとの下位互換性を保つために行われる LAN Manager による応答の符号化は、暗号化の強度が不十分です。 MS-CHAP v2 では、LAN Manager によって符号化された応答は許可されません。
LAN Manager によるパスワードの変更の符号化は、暗号化の強度が不十分です。 MS-CHAP v2 では、LAN Manager によって符号化されたパスワードの変更は許可されません。
一方向の認証しかできません。リモート アクセス クライアントは、自分がダイヤルインしている相手が組織のリモート アクセス サーバーなのか、偽装リモート アクセス サーバーなのか、確認できません。 MS-CHAP v2 では、相互認証とも呼ばれる双方向認証が行われます。リモート アクセス クライアントは、自分がダイヤルインしている相手のリモート アクセス サーバーが、ユーザーのパスワードにアクセスできることを示す証明を受け取ります。
40 ビット暗号化を使って、ユーザーのパスワードに基づいて暗号化キーを作成します。ユーザーが同じパスワードを使って接続するたびに、同じ暗号化キーが生成されます。 MS-CHAP v2 では、常にユーザーのパスワードと任意のチャレンジ文字列に基づいて暗号化キーを作成します。ユーザーが同じパスワードを使って接続するたびに、別の暗号化キーが使用されます。
接続上でどちらの方向に送信されるデータに対しても 1 つの暗号化キーを使います。 MS-CHAP v2 では、送信データと受信データに別々の暗号化キーを使います。

MS-CHAP v2 では、次のように、一方向暗号化パスワードを使って相互認証を行います。

  1. ユーザー認証システム (リモート アクセス サーバーまたは IAS サーバー) は、リモート アクセス クライアントにチャレンジを送信します。チャレンジは、セッション識別子と任意のチャレンジ文字列で構成されます。
  2. リモート アクセス クライアントは、次の項目が含まれた応答を送ります。
  3. ユーザー認証システムはクライアントからの応答を確認し、次の項目が含まれた応答を送り返します。
  4. リモート アクセス クライアントは、認証済み応答を確認し、その応答が正しければ、接続を使います。認証済み応答が正しくない場合、リモート アクセス クライアントは接続を終了します。

MS-CHAP v2 を有効にする

MS-CHAP v2 ベースの認証を有効にするには、次の操作を行わなければなりません。

  1. リモート アクセス サーバー上で MS-CHAP v2 を認証プロトコルとして有効にします。詳細については、 「認証プロトコルを有効にするには」を参照してください。MS-CHAPv2 は、既定で有効です。
  2. 適切なリモート アクセス ポリシーで MS-CHAP v2 を有効にします。詳細については、「リモート アクセス ポリシーについて」「認証を構成するには」を参照してください。MS-CHAPv2 は、既定で有効です。
  3. Windows 2000 を実行しているリモート アクセス クライアント上で MS-CHAP v2 を有効にします。詳細については、「MS-CHAP v2 (Microsoft チャレンジ ハンドシェイク認証プロトコル version 2)」を参照してください。

note 注