Jump to content
Калькуляторы

EAP-TLS 1.3: мир Wi-Fi никогда не будет прежним? draft-mattsson-eap-tls13-00 на замену RFC5216

А ведь мы в интересную эпоху живём! Вот лежит проект новой версии EAP-TLS, приуроченный к выходу будущего TLS 1.3. Помимо чисто косметических изменений, важное дополнение «забытое» в RFC5216: аутентификация в режиме «только сервер» (а-ля массовый HTTPS, без клиентского сертификата). Плюс, в TLS 1.3 засунули механизм восстановления сессии (сейчас он существует в виде расширения), существенно уменьшающий количество RTT (что актуально в схема EAP по RADIUS). Ессно, с сохранением способности выработки сессионного ключа (точнее, ключей).

 

Почему именно Wi-Fi? Ну, наверное потому что 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x, некоторые операторы связи даже умудряются использовать его для своих нужд.

 

Что ж, в скором времени о таком понятии как «открытая сеть Wi-Fi» мы забудем, «валидный» серверный сертификат обеспечивает инициатива ДавайШифруй.

 

От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга.

 

Но ясно одно: мир Wi-Fi ждут кардинальные изменения.

Edited by Macil

Share this post


Link to post
Share on other sites

802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x

В провайдинге - может быть, а так основной утилизатор EAP - VPN корпоратов.

 

Узок круг этих революционеров. Страшно далеки они от народа.

Edited by jffulcrum

Share this post


Link to post
Share on other sites
а так основной утилизатор EAP - VPN корпоратов.
Вот уж чего не знал! С чем приходилось сталкиваться — юзался IPSec и IKE.

 

В каком виде и для чего в данном контексте используется EAP?

Share this post


Link to post
Share on other sites

От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга.

Ну сколько можно этой суперкукой и интернетом по паспорту пугать. Снабдить личными сертификатами ну ничего не мешает давным-давно. Но что-то не видно толпы желающих воспользоваться потенциальными плюшками.

Share this post


Link to post
Share on other sites
Снабдить личными сертификатами ну ничего не мешает давным-давно
Мешает, и как раз много чего. Много проблем начиная от чисто технических. Но, если честно, мне это неинтересно обсуждать, т.к. PKI не подходит для «интернета по паспорту».

 

Мне намного интереснее другое. Почему спустя столько лет таки решили ввести «забытый» функционал. Откровения Сноудена? Интернет вещей? Обострение проблемы сетевой нейтральности? Если звёзды зажигают — значит кому-то это нужно... Вот и интересный вопрос — кому.

Share this post


Link to post
Share on other sites

Ты слишком сгущаешь.

Давай посмотрим сколько нынче хотя бы AC на 5 ГГц?

- Их совсем мало.

Хомякам за глаза хватает обычного n в 2,4 ГГц на 1-2 канала, да и самих девайсов AC мало.

Самому AC уже не один год.

 

Те оно внедрятся будет до TLS 1.5...

 

Насчёт инета по пасспорту я не понял, если только раздавать вафлей инет, да и то вряд ли у кого рука поднимется выпиливать традиционный парольный способ.

К тому же есть вифи директ и ещё какой то, они вообще без точек пашут, типа п2п.

Share this post


Link to post
Share on other sites
Те оно внедрятся будет до TLS 1.5...
Внедрения не будет. Раз WPA2 — значит EAP-TLS, а это каждый первый девайс на рынке.

 

От AP требуется интеллекта только на пропуск EAPoL-фреймов и трансляцию EAP в радиус. Выработанный симметричный ключ передаётся в AP, а дальше стандартный 4-way handshake. Всё упирается исключительно в клиентский и серверный софт. Угу. И там и там весьма тривиальные правки.

 

Это касается любого EAP. Нерешённым остаётся только вопрос передачи ключа на AP. Но, RADIUS — такое говнище, что официально признана невозможность разработки и предлагается юзать MPPE.

Share this post


Link to post
Share on other sites

Как это изменит мир?

 

Во-первых, это серьёзная заявка на криптографию в L2. Всё уже готово, или почти готово.

 

Во-вторых, EAP-TLS 1.3 поддерживает аутентификацию по разделяемому ключу, но в отличие от WPA-PSK поддерживает прямую секретность. Так что нет препятствий для использования у хомячков и в прочих интернетах вещей.

 

В-третьих, поддерживается безопасный механизм восстановления сессии. Не нужно постоянно хранить на компе пароль, он же ключ.

 

В-четвёртых, нет препятствий для выноса аутентификации в физически отдельную сущность: токен, отдельный процессор, гипервизор, защищённый процесс.

 

В-пятых, всё вышеперечисленное будет одинаково работать как по проводу, так и по «беспроводу».

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this