Cryptography Reference
In-Depth Information
■
GSS-API
: Hier wird eine Authentifizierung und Verschlüsselung mit den Mit-
teln der GSS-API ermöglicht.
■
S/Key
: Dieser Zusatz ermöglicht den Einsatz von Einmal-Passwörtern nach
der von S/Key vorgesehenen Methode. Verschlüsselt wird dabei nicht.
CRAM
Die IMAP Authentication Mechanisms sehen zwar verschiedene Möglichkeiten
zur Authentifizierung vor. Ein Challenge-Response-Verfahren nach Vorbild der
Digest Access Authentication oder CHAP ist jedoch nicht dabei. Dies wird in
[RFC2195] nachgeholt. Darin wird ein speziell für IMAP entwickeltes Verfahren
namens
Challenge-Response Authentication Mechanism
(
CRAM
) spezifiziert.
Dabei handelt es sich um ein einfaches Challenge-Response-Verfahren, bei dem
der Server einen Zufallswert, seinen Servernamen und einen Zeitstempel als
Challenge an Bob sendet. Bob wendet auf diese Daten eine schlüsselabhängige
Hashfunktion an und schickt das Resultat als Response an den Server zurück.
Das vorgesehene Verfahren ist ein HMAC auf Basis von MD5.
IMAP über TLS oder SASL
Als typisches Client-Server-Protokoll, das über TCP arbeitet, lässt sich IMAP auch
über SSL (bzw. TLS) absichern. In [RFC2595] wird diese Kombination unter dem
Namen
IMAP-TLS
beschrieben. Zu guter Letzt kann auch SASL verwendet wer-
den, um IMAP abzusichern. IMAP war sogar als wichtigste Anwendung von SASL
geplant. Aus diesem Grund waren die ersten drei Sicherheitsmechanismen, die für
SASL definiert wurden, Kerberos, GSS-API und S/Key - also genau dieselben
Methoden, die auch die IMAP Authentication Mechanisms vorsehen.
36.4.3
Krypto-Zusätze für POP
Alle beschriebenen Krypto-Zusätze für IMAP sind auch für POP nutzbar:
■
IMAP Authentication Mechanisms
: [RFC1734] spezifiziert eine POP-Erwei-
terung, über die die IMAP Authentication Mechanisms auch bei POP
anwendbar sind.
■
CRAM
: CRAM kann auch zur Absicherung von POP eingesetzt werden.
■
SSL, SASL
: Auch SSL und TLS lassen sich für POP nutzen. Der erwähnte
RFC 2595, der IMAP-TLS beschreibt, sieht auch die Kombination
POP-TLS
vor. Die Nutzung von POP über SASL ist ebenfalls möglich.
