Eduroam в Софийския университет "Св. Климент Охридски"

Начало > Защо потребителите на Eduroam от домейните на Софийския университет не използват EAP-TLS вместо EAP-TTLS за поддържаните пощенски домейни

Защо потребителите на Eduroam от домейните на Софийския университет не използват EAP-TLS вместо EAP-TTLS за поддържаните пощенски домейни

В рамките на EAP-TLS (ако бъде приложен за Eduroam) потребителите се удостоверяват при достъп до Wi-Fi мрежата "eduroam" на база на своя валиден X.509 сертификат (издаден от PKI удостоверителя на Университета). Такъв протокол изглежда много по-сигурен в сравнение с EAP-TTLS, където в тунела установен между Wi-Fi устройството при потребителя и RADIUS сървъра за удостоверяване в СУ се обменя потребителско име и парола. От друга страна EAP-TLS страда от проблем, който засяга не само Wi-Fi удостоверяването, но и по принцип удостоверяването с X.509 сертификати с използване на TLS версии по-ниски от 1.3. Този проблем се състои в това, че информацията за потребителя в тялото на X.509 сертификата се предава по мрежата в явен вид (тази информация се предава преди установяване на тунела, а не в него, както е при използване на потребителско име и парола). Въпреки, че това предаване на потребителска информация в явен вид не намалява сигурността на удостоверяването (то е по-надеждно от това с име и парола) то персонализира потребителя. Една възможност за избягване на персонализацията е издаването на анонимни X.509 сертификати за всеки потребител, в които не се съдържа потребителска информация като име и пощенски адрес, но подобна схема на издаване на сертификати създава усложнения както за потребителите, така и за управлението на конфигурацията на услугата. Освен това, серийния номер на X.509 сертификат остава като уникална информация за самия сертификат, която може да бъде използванa за проследваване от кои точки за достъп на Wi-Fi мрежата "eduroam" се е свързвал клиента. Вярно е, че и MAC адреса на Wi-Fi адаптера на устройството на потребителя може да се използва за проследяване на устройството, но в по-модерните версии на операционни системи (Android 10+) потребителят има възможност да сменя MAC адреса на Wi-Fi адаптера за всяка сесия.

До момента няма яснота как точно ще бъде реализирано използването на EAP-TLS за TLS 1.3 без да се персонализира потребителя. Когато такава реализация на EAP-TLS (или принципно нов протокол заместващ EAP-TLS) се появи и бъде възприета от Интернет общността, и от производителите на софтуер и хардуер, то Софийския университет ще я внедри за използване в Eduroam успоредно с EAP-TTLS за пощенските домейни.

Един друг вариант за внедряване на EAP-TLS е създаване на отделен домейн за обслужване от Eduroam (eap-tls.uni-sofia.bg), при който да се използват X.509 сертификати, които не включват в Subject или SAN данни за потребителя и който сертификат може лесно да се преиздава или подменя.

 


Последна актуализация: 29 май 2023

Автор на първоначалната версия на документа: Веселин Колев

2023 УЦИКТ, Софийски университет