Перейти к содержимому
Калькуляторы

EAP-TLS 1.3: мир Wi-Fi никогда не будет прежним? draft-mattsson-eap-tls13-00 на замену RFC5216

А ведь мы в интересную эпоху живём! Вот лежит проект новой версии EAP-TLS, приуроченный к выходу будущего TLS 1.3. Помимо чисто косметических изменений, важное дополнение «забытое» в RFC5216: аутентификация в режиме «только сервер» (а-ля массовый HTTPS, без клиентского сертификата). Плюс, в TLS 1.3 засунули механизм восстановления сессии (сейчас он существует в виде расширения), существенно уменьшающий количество RTT (что актуально в схема EAP по RADIUS). Ессно, с сохранением способности выработки сессионного ключа (точнее, ключей).

 

Почему именно Wi-Fi? Ну, наверное потому что 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x, некоторые операторы связи даже умудряются использовать его для своих нужд.

 

Что ж, в скором времени о таком понятии как «открытая сеть Wi-Fi» мы забудем, «валидный» серверный сертификат обеспечивает инициатива ДавайШифруй.

 

От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга.

 

Но ясно одно: мир Wi-Fi ждут кардинальные изменения.

Изменено пользователем Macil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x

В провайдинге - может быть, а так основной утилизатор EAP - VPN корпоратов.

 

Узок круг этих революционеров. Страшно далеки они от народа.

Изменено пользователем jffulcrum

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а так основной утилизатор EAP - VPN корпоратов.
Вот уж чего не знал! С чем приходилось сталкиваться — юзался IPSec и IKE.

 

В каком виде и для чего в данном контексте используется EAP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга.

Ну сколько можно этой суперкукой и интернетом по паспорту пугать. Снабдить личными сертификатами ну ничего не мешает давным-давно. Но что-то не видно толпы желающих воспользоваться потенциальными плюшками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Снабдить личными сертификатами ну ничего не мешает давным-давно
Мешает, и как раз много чего. Много проблем начиная от чисто технических. Но, если честно, мне это неинтересно обсуждать, т.к. PKI не подходит для «интернета по паспорту».

 

Мне намного интереснее другое. Почему спустя столько лет таки решили ввести «забытый» функционал. Откровения Сноудена? Интернет вещей? Обострение проблемы сетевой нейтральности? Если звёзды зажигают — значит кому-то это нужно... Вот и интересный вопрос — кому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты слишком сгущаешь.

Давай посмотрим сколько нынче хотя бы AC на 5 ГГц?

- Их совсем мало.

Хомякам за глаза хватает обычного n в 2,4 ГГц на 1-2 канала, да и самих девайсов AC мало.

Самому AC уже не один год.

 

Те оно внедрятся будет до TLS 1.5...

 

Насчёт инета по пасспорту я не понял, если только раздавать вафлей инет, да и то вряд ли у кого рука поднимется выпиливать традиционный парольный способ.

К тому же есть вифи директ и ещё какой то, они вообще без точек пашут, типа п2п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Те оно внедрятся будет до TLS 1.5...
Внедрения не будет. Раз WPA2 — значит EAP-TLS, а это каждый первый девайс на рынке.

 

От AP требуется интеллекта только на пропуск EAPoL-фреймов и трансляцию EAP в радиус. Выработанный симметричный ключ передаётся в AP, а дальше стандартный 4-way handshake. Всё упирается исключительно в клиентский и серверный софт. Угу. И там и там весьма тривиальные правки.

 

Это касается любого EAP. Нерешённым остаётся только вопрос передачи ключа на AP. Но, RADIUS — такое говнище, что официально признана невозможность разработки и предлагается юзать MPPE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как это изменит мир?

 

Во-первых, это серьёзная заявка на криптографию в L2. Всё уже готово, или почти готово.

 

Во-вторых, EAP-TLS 1.3 поддерживает аутентификацию по разделяемому ключу, но в отличие от WPA-PSK поддерживает прямую секретность. Так что нет препятствий для использования у хомячков и в прочих интернетах вещей.

 

В-третьих, поддерживается безопасный механизм восстановления сессии. Не нужно постоянно хранить на компе пароль, он же ключ.

 

В-четвёртых, нет препятствий для выноса аутентификации в физически отдельную сущность: токен, отдельный процессор, гипервизор, защищённый процесс.

 

В-пятых, всё вышеперечисленное будет одинаково работать как по проводу, так и по «беспроводу».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.