Macil Опубликовано 16 июля, 2017 (изменено) · Жалоба А ведь мы в интересную эпоху живём! Вот лежит проект новой версии EAP-TLS, приуроченный к выходу будущего TLS 1.3. Помимо чисто косметических изменений, важное дополнение «забытое» в RFC5216: аутентификация в режиме «только сервер» (а-ля массовый HTTPS, без клиентского сертификата). Плюс, в TLS 1.3 засунули механизм восстановления сессии (сейчас он существует в виде расширения), существенно уменьшающий количество RTT (что актуально в схема EAP по RADIUS). Ессно, с сохранением способности выработки сессионного ключа (точнее, ключей). Почему именно Wi-Fi? Ну, наверное потому что 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x, некоторые операторы связи даже умудряются использовать его для своих нужд. Что ж, в скором времени о таком понятии как «открытая сеть Wi-Fi» мы забудем, «валидный» серверный сертификат обеспечивает инициатива ДавайШифруй. От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга. Но ясно одно: мир Wi-Fi ждут кардинальные изменения. Изменено 16 июля, 2017 пользователем Macil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 16 июля, 2017 (изменено) · Жалоба 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x В провайдинге - может быть, а так основной утилизатор EAP - VPN корпоратов. Узок круг этих революционеров. Страшно далеки они от народа. Изменено 16 июля, 2017 пользователем jffulcrum Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 16 июля, 2017 · Жалоба а так основной утилизатор EAP - VPN корпоратов.Вот уж чего не знал! С чем приходилось сталкиваться — юзался IPSec и IKE. В каком виде и для чего в данном контексте используется EAP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 июля, 2017 · Жалоба От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга. Ну сколько можно этой суперкукой и интернетом по паспорту пугать. Снабдить личными сертификатами ну ничего не мешает давным-давно. Но что-то не видно толпы желающих воспользоваться потенциальными плюшками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 16 июля, 2017 · Жалоба Снабдить личными сертификатами ну ничего не мешает давным-давноМешает, и как раз много чего. Много проблем начиная от чисто технических. Но, если честно, мне это неинтересно обсуждать, т.к. PKI не подходит для «интернета по паспорту». Мне намного интереснее другое. Почему спустя столько лет таки решили ввести «забытый» функционал. Откровения Сноудена? Интернет вещей? Обострение проблемы сетевой нейтральности? Если звёзды зажигают — значит кому-то это нужно... Вот и интересный вопрос — кому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 июля, 2017 · Жалоба Ты слишком сгущаешь. Давай посмотрим сколько нынче хотя бы AC на 5 ГГц? - Их совсем мало. Хомякам за глаза хватает обычного n в 2,4 ГГц на 1-2 канала, да и самих девайсов AC мало. Самому AC уже не один год. Те оно внедрятся будет до TLS 1.5... Насчёт инета по пасспорту я не понял, если только раздавать вафлей инет, да и то вряд ли у кого рука поднимется выпиливать традиционный парольный способ. К тому же есть вифи директ и ещё какой то, они вообще без точек пашут, типа п2п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 17 июля, 2017 · Жалоба Те оно внедрятся будет до TLS 1.5...Внедрения не будет. Раз WPA2 — значит EAP-TLS, а это каждый первый девайс на рынке. От AP требуется интеллекта только на пропуск EAPoL-фреймов и трансляцию EAP в радиус. Выработанный симметричный ключ передаётся в AP, а дальше стандартный 4-way handshake. Всё упирается исключительно в клиентский и серверный софт. Угу. И там и там весьма тривиальные правки. Это касается любого EAP. Нерешённым остаётся только вопрос передачи ключа на AP. Но, RADIUS — такое говнище, что официально признана невозможность разработки и предлагается юзать MPPE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 17 июля, 2017 · Жалоба Как это изменит мир? Во-первых, это серьёзная заявка на криптографию в L2. Всё уже готово, или почти готово. Во-вторых, EAP-TLS 1.3 поддерживает аутентификацию по разделяемому ключу, но в отличие от WPA-PSK поддерживает прямую секретность. Так что нет препятствий для использования у хомячков и в прочих интернетах вещей. В-третьих, поддерживается безопасный механизм восстановления сессии. Не нужно постоянно хранить на компе пароль, он же ключ. В-четвёртых, нет препятствий для выноса аутентификации в физически отдельную сущность: токен, отдельный процессор, гипервизор, защищённый процесс. В-пятых, всё вышеперечисленное будет одинаково работать как по проводу, так и по «беспроводу». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...