Wi-Fi chiede di accettare il certificato (autofirmato): a cosa serve?

4

Quando ho provato a connettermi al Wi-Fi della mia Università per la prima volta, mi ha chiesto di accettare un certificato (probabilmente autofirmato).
Fortunatamente hanno pubblicato l'impronta digitale quindi ero sicuro che fosse sicuro da accettare. Il Wi-Fi chiedeva quindi un nome utente e una password.

Domanda:
A cosa serve questo certificato? Ha qualcosa a che fare con WPA2 Enterprise?

Ma perché ha bisogno di un certificato? Voglio dire che la mia casa Wi-Fi funziona bene senza un certificato (PSK).

    
posta Florian Schneider 01.11.2015 - 22:24
fonte

1 risposta

3

Scusa, ignora i miei commenti precedenti, ho in qualche modo interpretato male la tua domanda all'inizio.

La rete eduroam ti chiede di accettare il certificato in modo che il tuo dispositivo possa quindi utilizzare la chiave pubblica collegata al certificato per assicurarsi che il server sia chi dichiara di essere e inviare in modo sicuro le credenziali di accesso per la rete. Quindi sì, questo ha a che fare con "Enterprise" in WPA Enterprise, poiché la modalità "Personale" (PSK) di WPA non ti consente di controllare l'accesso alla rete per utente.

Per espandere un po 'su questo: in WPA, le comunicazioni sono simmetricamente criptate usando una chiave che viene generata in un cosiddetto handshake a quattro vie da un segreto precondiviso, valori casuali che cambiano per ogni sessione e alcuni specifici punti di accesso informazione. Se sei interessato ai dettagli dell'handshake, qui è una grande risposta stackexchange che li spiega. La differenza tra la modalità personale e quella aziendale risiede in ciò che è il segreto precondiviso. In modalità personale, il segreto è una passphrase predeterminata (credo che tra 8 e 63 caratteri di lunghezza). Gli utenti implicitamente "autenticano" se stessi attraverso la loro conoscenza della passphrase che è ovviamente meno sicura che costringerli a dimostrare effettivamente di essere qualcuno che è stato autorizzato ad utilizzare la rete. Un ulteriore problema è che gli utenti possono intercettare le conversazioni altrui se registrano l'handshake di qualcun altro all'inizio della sessione.

La modalità enterprise, d'altra parte, consente una moltitudine di metodi di autenticazione gestiti da un cosiddetto server RADIUS. Nel tuo caso, la rete eduroam sembra utilizzare il metodo EAP-TTLS o PEAP, entrambi basati su un certificato X.509 per autenticare il server e stabilire un tunnel TLS sicuro per inviare le credenziali di accesso dell'utente. Quanto segue è tratto dalla sezione FAQ del sito web della rete eduroam (enfasi mia):

IIn eduroam, communication between the access point and the user's home institution is based on IEEE 802.1X standard; 802.1X encompasses the use of EAP, the Extensible Authentication Protocol, which allows for different authentication methods. Depending on the type of EAP method used, either a secure tunnel will be established from the user’s computer to his home institution through which the actual authentication information (username/password etc.) will be carried (EAP-TTLS or PEAP), or mutual authentication by public X.509 certificates, which is not vulnerable to eavesdropping, will be used (EAP-TLS).

[source]

Come puoi vedere, i metodi di autenticazione alternativi potrebbero anche includere l'uso di certificati client per l'autenticazione dell'utente.

Ora per tornare alla tua domanda, lo scopo del certificato sul lato server è quello di impedire a qualcun altro di presentarsi come punto di accesso e di rubare le tue credenziali di accesso.

    
risposta data 01.11.2015 - 23:24
fonte

Leggi altre domande sui tag