Eduroam в Софийския Университет "Св. Климент Охридски"

Начало > Защо потребителите на Eduroam от домейните на Софийския Университет не използват EAP-TLS вместо EAP-TTLS

Защо потребителите на Eduroam от домейните на Софийския Университет не използват EAP-TLS вместо EAP-TTLS

В рамките на EAP-TLS (ако бъде приложен за Eduroam) потребителите се удостоверяват при достъп до Wi-Fi мрежата "eduroam" на база на своя валиден X.509 сертификат (издаден от PKI удостоверителя на Университета). Такъв протокол изглежда много по-сигурен в сравнение с EAP-TTLS, където в тунела установен между Wi-Fi устройството при потребителя и RADIUS сървъра за удостоверяване в СУ се обменя потребителско име и парола. От друга страна EAP-TLS страда от проблем, който засяга не само Wi-Fi удостоверяването, но и по принцип удостоверяването с X.509 сертификати с използване на TLS версии по-ниски от 1.3. Този проблем се състои в това, че информацията за потребителя в тялото на X.509 сертификата се предава по мрежата в явен вид (тази информация се предава преди установяване на тунела, а не в него, както е при използване на потребителско име и парола). Въпреки, че това предаване на потребителска информация в явен вид не намалява сигурността на удостоверяването (то е по-надеждно от това с име и парола) то персонализира потребителя. Една възможност за избягване на персонализацията е издаването на анонимни X.509 сертификати за всеки потребител, в които не се съдържа потребителска информация като име и пощенски адрес, но подобна схема на издаване на сертификати създава усложнения както за потребителите, така и за управлението на конфигурацията на услугата. Освен това, серийния номер на X.509 сертификат остава като уникална информация за самия сертификат, която може да бъде използванa за проследваване от кои точки за достъп на Wi-Fi мрежата "eduroam" се е свързвал клиента. Вярно е, че и MAC адреса на Wi-Fi адаптера на устройството на потребителя може да се използва за проследяване на устройството, но в по-модерните версии на операционни системи (Android 10+) потребителят има възможност да сменя MAC адреса на Wi-Fi адаптера за всяка сесия.

До момента няма яснота как точно ще бъде реализирано използването на EAP-TLS за TLS 1.3 без да се персонализира потребителя. Когато такава реализация на EAP-TLS (или принципно нов протокол заместващ EAP-TLS) се появи и бъде възприета от Интернет общността, и от производителите на софтуер и хардуер, то Софийския Университет ще я внедри за използване в Eduroam успоредно с EAP-TTLS.

 


Последна актуализация: 11 октомври 2021

Автор на първоначалната версия на документа: Веселин Колев

2021 УЦИКТ, Софийски Университет