Macil Posted July 16, 2017 (edited) · Report post А ведь мы в интересную эпоху живём! Вот лежит проект новой версии EAP-TLS, приуроченный к выходу будущего TLS 1.3. Помимо чисто косметических изменений, важное дополнение «забытое» в RFC5216: аутентификация в режиме «только сервер» (а-ля массовый HTTPS, без клиентского сертификата). Плюс, в TLS 1.3 засунули механизм восстановления сессии (сейчас он существует в виде расширения), существенно уменьшающий количество RTT (что актуально в схема EAP по RADIUS). Ессно, с сохранением способности выработки сессионного ключа (точнее, ключей). Почему именно Wi-Fi? Ну, наверное потому что 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x, некоторые операторы связи даже умудряются использовать его для своих нужд. Что ж, в скором времени о таком понятии как «открытая сеть Wi-Fi» мы забудем, «валидный» серверный сертификат обеспечивает инициатива ДавайШифруй. От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга. Но ясно одно: мир Wi-Fi ждут кардинальные изменения. Edited July 16, 2017 by Macil Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted July 16, 2017 (edited) · Report post 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x В провайдинге - может быть, а так основной утилизатор EAP - VPN корпоратов. Узок круг этих революционеров. Страшно далеки они от народа. Edited July 16, 2017 by jffulcrum Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Macil Posted July 16, 2017 · Report post а так основной утилизатор EAP - VPN корпоратов.Вот уж чего не знал! С чем приходилось сталкиваться — юзался IPSec и IKE. В каком виде и для чего в данном контексте используется EAP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 16, 2017 · Report post От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга. Ну сколько можно этой суперкукой и интернетом по паспорту пугать. Снабдить личными сертификатами ну ничего не мешает давным-давно. Но что-то не видно толпы желающих воспользоваться потенциальными плюшками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Macil Posted July 16, 2017 · Report post Снабдить личными сертификатами ну ничего не мешает давным-давноМешает, и как раз много чего. Много проблем начиная от чисто технических. Но, если честно, мне это неинтересно обсуждать, т.к. PKI не подходит для «интернета по паспорту». Мне намного интереснее другое. Почему спустя столько лет таки решили ввести «забытый» функционал. Откровения Сноудена? Интернет вещей? Обострение проблемы сетевой нейтральности? Если звёзды зажигают — значит кому-то это нужно... Вот и интересный вопрос — кому. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted July 16, 2017 · Report post Ты слишком сгущаешь. Давай посмотрим сколько нынче хотя бы AC на 5 ГГц? - Их совсем мало. Хомякам за глаза хватает обычного n в 2,4 ГГц на 1-2 канала, да и самих девайсов AC мало. Самому AC уже не один год. Те оно внедрятся будет до TLS 1.5... Насчёт инета по пасспорту я не понял, если только раздавать вафлей инет, да и то вряд ли у кого рука поднимется выпиливать традиционный парольный способ. К тому же есть вифи директ и ещё какой то, они вообще без точек пашут, типа п2п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Macil Posted July 17, 2017 · Report post Те оно внедрятся будет до TLS 1.5...Внедрения не будет. Раз WPA2 — значит EAP-TLS, а это каждый первый девайс на рынке. От AP требуется интеллекта только на пропуск EAPoL-фреймов и трансляцию EAP в радиус. Выработанный симметричный ключ передаётся в AP, а дальше стандартный 4-way handshake. Всё упирается исключительно в клиентский и серверный софт. Угу. И там и там весьма тривиальные правки. Это касается любого EAP. Нерешённым остаётся только вопрос передачи ключа на AP. Но, RADIUS — такое говнище, что официально признана невозможность разработки и предлагается юзать MPPE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Macil Posted July 17, 2017 · Report post Как это изменит мир? Во-первых, это серьёзная заявка на криптографию в L2. Всё уже готово, или почти готово. Во-вторых, EAP-TLS 1.3 поддерживает аутентификацию по разделяемому ключу, но в отличие от WPA-PSK поддерживает прямую секретность. Так что нет препятствий для использования у хомячков и в прочих интернетах вещей. В-третьих, поддерживается безопасный механизм восстановления сессии. Не нужно постоянно хранить на компе пароль, он же ключ. В-четвёртых, нет препятствий для выноса аутентификации в физически отдельную сущность: токен, отдельный процессор, гипервизор, защищённый процесс. В-пятых, всё вышеперечисленное будет одинаково работать как по проводу, так и по «беспроводу». Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
