После получения Запроса субъект производит следующие действия:
- Выбирает соответствующий объекту пароль.
- Использует пароль и полученное Число как параметры для хэш-функции (обычно MD5) и получает соответствующее хэш-значение.
- Формирует пакет Ответа, где в поле Число указывает полученное хэш-значение, а в поле Имя — свое наименование.
- Высылает пакет объекту.
Объект, получив пакет, производит свое вычисление хэш-значения с использованием соответствующего пароля для данного субъекта и Числа. В случае совпадения рассчитанного и присланного хэш-значений, происходит подтверждение аутентификации, иначе — отказ. Формат пакета для этого аналогичен формату пакета РАР с Кодом = 3 для успешной авторизации и с Кодом = 4 для отказа.
Существует реализация данного протокола компанией Microsoft (MS-CHAP -Microsoft Challenge Handshake Authentication Protocol), в которой хранение пароля субъектом и объектом обеспечивается в зашифрованном виде.