Protocolo EAP para acesso à rede
O EAP (Protocolo de Autenticação Extensível) é uma estrutura de autenticação que permite o uso de diferentes métodos de autenticação para tecnologias seguras de acesso à rede. Exemplos dessas tecnologias incluem acesso sem fio usando IEEE 802.1X, acesso com fio usando IEEE 802.1X e conexões de protocolo PPP como VPN (Rede Virtual Privada). O EAP não é um método de autenticação específico como o MS-CHAP v2, mas uma estrutura que permite aos fornecedores de rede desenvolver e instalar novos métodos de autenticação, conhecidos como métodos de EAP, no servidor de autenticação e cliente de acesso. A estrutura EAP é originalmente definida pelo RFC 3748 e estendida por vários outros RFCs e padrões.
Métodos de autenticação
Os métodos de autenticação de EAP usados nos métodos de EAP encapsulados são comumente conhecidos como métodos internos ou tipos de EAP. Os métodos configurados como métodos internos têm as mesmas definições de configuração que teriam ao serem usados como métodos externos. Este artigo contém informações específicas sobre configuração dos seguintes métodos de autenticação em EAP.
EAP-TLS (EAP-Transport Layer Security): método EAP baseado em padrões que usa TLS com certificados para autenticação mútua. Aparece como Cartão Inteligente ou outro certificado (EAP-TLS) no Windows. O EAP-TLS pode ser implantado como um método interno para outro método EAP ou como um método EAP autônomo.
Dica
Os métodos EAP que usam EAP-TLS, sendo baseados em certificado, geralmente oferecem o nível mais alto de segurança. Por exemplo, EAP-TLS é o único método EAP permitido para o modo WPA3-Enterprise de 192 bits.
EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol versão 2): método EAP definido pela Microsoft que encapsula o protocolo de autenticação MSCHAP v2, que usa nome de usuário e senha, para autenticação. Aparece como Senha segura (EAP-MSCHAP v2) no Windows. O EAP-MSCHAPv2 também pode ser usado como um método autônomo para VPN, mas apenas como um método interno para rede sem fio.
Aviso
As conexões baseadas em MSCHAPv2 estão sujeitas a ataques semelhantes aos de NTLMv1. O Windows 11 Enterprise versão 22H2 (build 22621) habilita o Windows Defender Credential Guard, que pode causar problemas com conexões baseadas em MSCHAPv2.
PEAP (EAP Protegido): método EAP definido pela Microsoft que encapsula o EAP em um túnel TLS. O túnel TLS protege o método EAP interno que, caso contrário, poderia ficar desprotegido. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.
EAP-TTLS (EAP-Transport Layer Security encapsulado): descrito pelo RFC 5281, encapsula uma sessão TLS que executa a autenticação mútua usando outro mecanismo de autenticação interna. Esse método interno pode ser um protocolo EAP, como EAP-MSCHAP v2, ou um protocolo diferente de EAP, como o PAP (Protocolo de Autenticação de Senha). No Windows Server 2012, a inclusão do EAP-TTLS dá suporte somente no lado do cliente (no Windows 8). O NPS não dá suporte ao EAP-TTLS no momento. O suporte ao cliente habilita a interoperação com servidores RADIUS comumente implantados que dão suporte ao EAP-TTLS.
EAP-SIM (Módulo de Identidade do Assinante), EAP-AKA (Autenticação e Acordo de Chaves) e EAP-AKA' (EAP-AKA Prime): descrito por diversos RFCs, habilita a autenticação usando cartões SIM e é implementado quando um cliente compra um plano de serviço de banda larga sem fio de uma operadora de rede móvel. Como parte do plano, o cliente normalmente recebe um perfil móvel que é pré-configurado para autenticação SIM.
TEAP (EAP em túnel): descrito pelo RFC 7170, um método de EAP em túnel que estabelece um túnel TLS seguro e executa outros métodos de EAP dentro dele. Compatível com o encadeamento de EAP – autenticando o computador e o usuário em uma sessão de autenticação. No Windows Server 2022, a inclusão do TEAP fornece suporte apenas para o lado do cliente – Windows 10, versão 2004 (build 19041). O NPS não dá suporte ao TEAP no momento. O suporte ao cliente permite a interoperação com servidores RADIUS comumente implantados que dão suporte ao TEAP. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.
A tabela a seguir lista alguns métodos EAP comuns e seus números de Tipo de método atribuído à IANA.
| Método EAP | Número de Tipo atribuído à IANA | Suporte nativo do Windows |
|---|---|---|
| Desafio MD5 (EAP-MD5) | 4 | ❌ |
| Senha de uso único (EAP-OTP) | 5 | ❌ |
| Cartão de token genérico (EAP-GTC) | 6 | ❌ |
| EAP-TLS | 13 | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| Senha de uso único protegida (EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| Chave pré-compartilhada (EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA' | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
Configurar propriedades de EAP
Você pode acessar as propriedades do EAP para acesso sem fio e com fio autenticado 802.1X das seguintes formas:
- Ao configurar as extensões das Políticas de Rede com Fio (IEEE 802.3) e das Políticas de Rede sem Fio (IEEE 802.11) na Política de Grupo.
- Configuração do computador>Políticas>Configurações do> WindowsConfigurações de segurança
- Usando um software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune (Wi-Fi/Com fio)
- Ao configurar manualmente conexões com ou sem fio em computadores cliente.
Você pode acessar as propriedades do EAP para conexões VPN das seguintes formas:
- Usando um software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune
- Ao configurar manualmente conexões VPN em computadores cliente.
- Ao usar o CMAK (Kit de Administração do Gerenciador de conexões) para configurar as conexões VPN.
Para saber como configurar propriedades de EAP, confira Configurar perfis e configurações de EAP no Windows.
Perfis XML para EAP
Os perfis usados para diferentes tipos de conexões são arquivos XML que contêm as opções de configuração para a conexão. Cada tipo de conexão diferente segue um esquema específico:
No entanto, quando configurado para usar o EAP, cada esquema de perfil tem um elemento filho EapHostConfig.
- Com fio/sem fio:
EapHostConfigé um elemento filho do elemento EAPConfig. Segurança MSM > (com fio/, sem fio), > OneX>, EAPConfig - VPN:
EapHostConfigé um elemento filho de NativeProfile > Autenticação > Eap > Configuração
Essa sintaxe de configuração é definida na especificação Política de grupo: extensão de protocolo sem fio/com fio.
Observação
As várias GUIs de configuração nem sempre mostram todas as opções tecnicamente possíveis. Por exemplo, o Windows Server 2019 e as versões anteriores não podem configurar o TEAP na interface do usuário. No entanto, geralmente é possível importar um perfil XML existente que foi configurado anteriormente.
O restante do artigo destina-se a fornecer um mapeamento entre as partes específicas do EAP da interface do usuário do Painel de Controle/Política de Grupo e as opções de configuração de XML, além de fornecer uma descrição da configuração.
Mais informações sobre como configurar perfis XML podem ser encontradas em Perfis XML. Um exemplo de como usar um perfil XML contendo configurações de EAP pode ser encontrado em Provisionar um perfil de Wi-Fi por meio de um site.
Configurações de segurança
A tabela a seguir explica as definições de segurança configuráveis para um perfil que usa 802.1X. Essas configurações são mapeadas para OneX.
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Selecione um método de autenticação de rede: | EAPConfig | Permite selecionar o método EAP a ser usado para a autenticação. Confira Definições de configuração do método de autenticação e Definições de configuração da autenticação por celular |
| Propriedades | Abre a caixa de diálogo de propriedades do método EAP selecionado. | |
| Modo de autenticação | authMode | Especifica o tipo de credenciais usadas para autenticação. Há suporte para os seguintes valores: 1. Autenticação do usuário ou computador 2. Autenticação do computador 3. Autenticação do usuário 4. Autenticação do convidado "Computador", neste contexto, significa "Máquina" em outras referências. machineOrUser é o padrão no Windows. |
| Máximo de Falhas de Autenticação | maxAuthFailures | Especifica o número máximo de falhas de autenticação permitidas para um conjunto de credenciais, com o padrão sendo 1. |
| Armazenar em cache as informações do usuário para conexões subsequentes com esta rede | cacheUserData | Especifica se as credenciais do usuário devem ser armazenadas em cache para conexões subsequentes com a mesma rede, tendo true como padrão. |
Configurações avançadas de segurança > IEEE 802.1X
Se a opção Aplicar configurações 802.1X avançadas estiver marcada, todas as configurações a seguir serão definidas. Se estiver desmarcada, as configurações padrão serão aplicadas. Em XML, todos os elementos são opcionais e, quando não estão presentes, os valores padrão são usados.
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Máximo de Msg. Eapol-Start | maxStart | Especifica o número máximo de mensagens EAPOL-Start que podem ser enviadas ao autenticador (servidor RADIUS) antes que o suplicante (cliente Windows) assuma que não há autenticador presente, tendo 3 como padrão. |
| Período de Início (segundos) | startPeriod | Especifica o período de tempo (em segundos) a esperar antes que uma mensagem EAPOL-Start seja enviada para iniciar o processo de autenticação 802.1X, tendo 5 como padrão. |
| Período de Retenção (segundos) | heldPeriod | Especifica o período de tempo (em segundos) a esperar após uma falha de tentativa de autenticação antes de tentar realizar novamente a autenticação, tendo 1 como padrão. |
| Período de Autenticação (segundos) | authPeriod | Especifica o período de tempo (em segundos) a esperar por uma resposta do autenticador (servidor RADIUS) antes de assumir que não há nenhum autenticador presente, tendo 18 como padrão. |
| Mensagem Eapol-Start | supplicantMode | Especifica o método de transmissão usado para mensagens EAPOL-Start. Há suporte para os seguintes valores: 1. Não transmitir ( inhibitTransmission)2. Transmitir ( includeLearning)3. Transmitir por IEEE 802.1X ( compliant)"Computador", neste contexto, significa "Máquina" em outras referências. compliant é o padrão no Windows e é a única opção válida para perfis sem fio. |
Configurações avançadas de segurança > Logon único
A tabela a seguir explica as configurações de SSO (logon único), anteriormente conhecido como PLAP (provedor de acesso pré-logon).
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Habilitar Logon Único para esta rede | singleSignOn | Especifica se o SSO está habilitado para esta rede, tendo false como padrão. Não use singleSignOn em um perfil se a rede não exigir. |
| Executar imediatamente antes do usuário Executar imediatamente após o usuário |
tipo | Especifica quando o SSO deve ser executado: antes ou depois do logon do usuário. |
| Atraso máximo de conectividade (segundos) | maxDelay | Especifica o atraso máximo (em segundos) antes que a tentativa de SSO falhe, tendo 10 como padrão. |
| Permitir que caixas de diálogo adicionais sejam exibidas durante o logon único | allowAdditionalDialogs | Especifica se a exibição de diálogos de EAP deve ser permitida durante o SSO, tendo false como padrão. |
| Esta rede usa VLAN diferente para autenticação com credenciais de máquina e de usuário | userBasedVirtualLan | Especifica se a VLAN (LAN virtual) usada pelo dispositivo muda com base nas credenciais do usuário, tendo false como padrão. |
Definições de configuração do método de autenticação
Cuidado
Se um servidor de acesso à rede estiver configurado para permitir o mesmo tipo de método de autenticação para um método EAP em túnel (por exemplo, PEAP) e um método EAP que não é em túnel (por exemplo, EAP-MSCHAP v2), haverá uma possível vulnerabilidade de segurança. Ao implantar um método EAP encapsulado e o EAP (que não é protegido), não use o mesmo tipo de autenticação. Por exemplo, se você implantar o PEAP-TLS, não implante também o EAP-TLS. Isso porque se você precisar da proteção do túnel, ele não servirá para permitir que o método seja executado fora do túnel também.
A tabela a seguir explica as definições configuráveis para cada método de autenticação.
As configurações de EAP-TLS no mapa da interface do usuário para EapTlsConnectionPropertiesV1, que é estendido por EapTlsConnectionPropertiesV2 e EapTlsConnectionPropertiesV3.
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Usar meu cartão inteligente | CredenciaisCartão Inteligente de Origem > | Especifica que os clientes, ao fazerem solicitações de autenticação, deverão apresentar um certificado de cartão inteligente para autenticação na rede. |
| Usar um certificado neste computador | CredentialsSource > CertificateStore | Especifica que os clientes de autenticação devem usar um certificado localizado no repositório de certificados Usuário Atual ou Computador Local . |
| Usar seleção de certificado simples (recomendado) | SimpleCertSelection | Especifica se o Windows selecionará automaticamente um certificado para autenticação sem a interação do usuário (se possível) ou se ele mostrará uma lista suspensa para o usuário selecionar um certificado. |
| Avançado | Abra a caixa de diálogo Configurar Seleção de Certificado. | |
| Opções de validação do servidor | ||
| Usar um nome de usuário diferente para a conexão | DifferentUsername | Especifica se deve ser utilizado um nome de usuário para autenticação diferente daquele incluído no certificado. |
O seguinte lista as definições de configuração para Configurar a seleção de certificado. Essas configurações definem os critérios de um cliente a fim de selecionar o certificado apropriado para autenticação. Essa interface do usuário é mapeada para TLSExtensions > FilteringInfo.
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Emissor do certificado | Lista de CAHashList Enabled="true" |
Especifica se a filtragem por Emissor do Certificado está habilitada. Quando Emissor do Certificado e EKU (Uso Estendido de Chave) estão habilitados, somente os certificados que satisfazem às duas condições são considerados válidos para fins de autenticação do cliente no servidor. |
| Autoridades de certificação raiz | IssuerHash | Lista os nomes de todos os emissores para os quais há certificados de autoridade de certificação presentes no repositório de certificados Autoridades de Certificação Raiz Confiáveis ou Autoridades de Certificação Intermediárias da conta do computador local. Isso inclui: 1. Todas as autoridades de certificação raiz e intermediárias. Em XML, essa é a impressão digital SHA-1 (hash) do certificado. |
| Uso Estendido de Chave (EKU) | Permite selecionar Todas as Finalidades, Autenticação de Cliente, Qualquer Finalidade ou qualquer combinação dessas opções. Especifica que, quando uma combinação é selecionada, todos os certificados que satisfazem a pelo menos uma das três condições são considerados válidos para fins de autenticação do cliente no servidor. Se a filtragem de EKU estiver habilitada, uma das opções deverá ser selecionada; caso contrário, a caixa de seleção EKU (Uso Estendido de Chave) será desmarcada. | |
| Todas as Finalidades | AllPurposeEnabled | Quando selecionado, esse item especifica que os certificados que têm o EKU Todas as Finalidades são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Uso Geral é 0 ou está vazio. |
| Autenticação de cliente | ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) |
Especifica que os certificados que têm o EKU Autenticação de Cliente e a lista de EKUs especificada são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Autenticação do cliente é 1.3.6.1.5.5.7.3.2. |
| Qualquer Finalidade | AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) |
Especifica que todos os certificados que têm o EKU Qualquer Finalidade e a lista de EKUs especificada são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Qualquer Finalidade é 1.3.6.1.4.1.311.10.12.1. |
| Adicionar | EKUMapping > EKUMap > EKUName/EKUOID | Abre a caixa de diálogo Selecionar EKUs que permite adicionar EKUs padrão, personalizados ou específicos de fornecedores à lista Autenticação de Cliente ou Qualquer Finalidade. Selecionar Adicionar ou Editar na caixa de diálogo Selecionar EKUs abrirá a caixa de diálogo Adicionar/Editar EKU, que fornece duas opções: Por exemplo, inserir |
| Editar | Permite editar EKUs personalizados adicionados. As EKUs predefinidas padrão não podem ser editadas. | |
| Remover | Remove o EKU selecionado da lista Autenticação de Cliente ou Qualquer Finalidade. |
Validação do servidor
Muitos métodos de EAP incluem uma opção para o cliente validar o certificado do servidor. Se o certificado do servidor não for validado, o cliente não poderá ter certeza de que está se comunicando com o servidor correto. Isso expõe o cliente a riscos de segurança, incluindo a possibilidade de se conectar inadvertidamente a uma rede não autorizada.
Observação
O Windows requer que o certificado do servidor tenha o EKU de autenticação do servidor. O OID (identificador de objeto) deste EKU é 1.3.6.1.5.5.7.3.1.
A tabela a seguir lista as opções de validação do servidor aplicáveis a cada método de EAP. O Windows 11 atualizou a lógica de validação do servidor para ser mais consistente (confira Comportamento de validação de certificado do servidor atualizado no Windows 11). Em caso de conflito, as descrições na tabela a seguir descrevem o comportamento no Windows 10 e nas versões anteriores.
| Configuração | Elemento XML | Descrição |
|---|---|---|
| Verificar a identidade do servidor validando o certificado | EAP-TLS: PerformServerValidation PEAP: PerformServerValidation |
Esse item especifica que o cliente verifica se os certificados do servidor apresentados ao computador cliente têm as assinaturas corretas, ainda são válidos e foram emitidos por uma AC (autoridade de certificação) raiz confiável. Desabilitar esta caixa de seleção faz com que os computadores cliente não consigam verificar a identidade dos servidores durante o processo de autenticação. Se a autenticação do servidor não ocorrer, os usuários ficarão expostos a graves riscos de segurança, incluindo a possibilidade de poderem se conectar desavisadamente a uma rede não autorizada. |
| Conectar-se a estes servidores | EAP-TLS: ServerValidation > ServerNames PEAP: ServerValidation > ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames |
Permite especificar o nome dos servidores do protocolo RADIUS que fornecem autenticação e autorização na rede. É necessário digitar o nome exatamente como ele aparece no campo de assunto de cada certificado do servidor RADIUS ou usar regex (expressões regulares) para especificar o nome do servidor. A sintaxe completa da expressão regular pode ser usada para especificar o nome do servidor, mas a fim de diferenciar uma expressão regular da cadeia de caracteres literal, é necessário usar pelo menos um Também é possível incluir um Se nenhum servidor RADIUS for especificado, o cliente só verificará se o certificado do servidor RADIUS foi emitido por uma AC raiz confiável. |
| Autoridades de Certificação Confiáveis | EAP-TLS: ServerValidation > TrustedRootCA PEAP: ServerValidation > TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes |
Lista as autoridades de certificação raiz confiáveis. A lista é criada com base nas autoridades de certificação raiz confiáveis instaladas nos repositórios de certificados do computador e do usuário. Você pode especificar quais certificados de autoridade de certificação raiz confiáveis que os suplicantes usarão para determinar se confiam em seus servidores, como seu servidor que executa o NPS ou o servidor de provisionamento. Se nenhuma autoridade de certificação raiz confiável for selecionada, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável instalada. Se uma ou várias autoridades de certificação raiz confiável forem selecionadas, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável selecionada. Se nenhuma AC raiz confiável for selecionada, o cliente verificará se o certificado do servidor RADIUS foi emitido por alguma AC raiz confiável. Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma autoridade de certificação para emitir certificados para os servidores RADIUS, seu certificado da autoridade de certificação será automaticamente adicionado à lista de autoridades de certificação raiz confiáveis. Você também pode comprar um certificado de uma autoridade de certificação que não seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são da Microsoft fornecem softwares com os certificados comprados que instalam automaticamente o certificado no repositório de certificados Autoridades de Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável aparece automaticamente na lista de autoridades de certificação raiz confiáveis. Não especifique um certificado de AC raiz confiável que ainda não esteja listado nos repositórios de certificados das Autoridades de Certificação Raiz Confiáveis dos computadores clientes para Usuário atual e Computador local. Ao designar um certificado que não está instalado nos computadores cliente, a autenticação falha. Em XML, esta é a impressão digital SHA-1 (hash) do certificado (ou SHA-256 para TEAP). |
Prompt de validação do servidor para o usuário
A tabela a seguir lista as opções de prompt de validação do servidor para o usuário aplicáveis a cada método de EAP. Essas opções são usadas no caso de um certificado de servidor não confiável para o seguinte:
- ocasionar uma falha imediata na conexão, ou
- permitir que o usuário aceite ou rejeite manualmente a conexão.
| Configuração | Elemento XML |
|---|---|
| Não solicitar que o usuário autorize novos servidores ou autoridades de certificação confiáveis | ServerValidation > DisableUserPromptForServerValidation |
Evita que um usuário seja solicitado para confiar em um certificado do servidor se esse certificado estiver configurado incorretamente, ainda não for confiável ou ambos (se habilitada). Para simplificar a experiência do usuário e evitar que ele confie erroneamente em um servidor implantado por um invasor, é recomendado marcar essa caixa de seleção.
Definições de configuração de autenticação de celular
Abaixo estão listadas as configurações de EAP-SIM, EPA-AKA e EPA-AKA', respectivamente.
EAP-SIM é definido em RFC 4186. O SIM (Módulo de Identidade do Assinante) do EAP é usado para autenticação e distribuição de chave de sessão usando o SIM (Módulo de Identidade do Assinante) do GSM (Global System for Mobile Communications) de rede móvel de 2ª geração.
As configurações do EAP-SIM na interface do usuário são mapeadas para EapSimConnectionPropertiesV1.
| Item | Elemento XML | Descrição |
|---|---|---|
| Usar chaves de criptografia fortes | UseStrongCipherKeys | Se selecionada, especifica que o perfil usa criptografia forte. |
| Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível | DontRevealPermanentID | Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação. |
| ProviderName | Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação. | |
| Habilitar uso de realms | Realm=true |
Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project). |
| Especificar um realm | Realm | Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado. |
Modo WPA3-Enterprise de 192 bits
O modo WPA3-Enterprise de 192 bits é um modo especial para WPA3-Enterprise que impõe certos requisitos de alta segurança na conexão sem fio para fornecer um mínimo de 192 bits de segurança. Esses requisitos estão alinhados com o Conjunto de CNSA (Algoritmos de Segurança Nacional Comercial), CNSSP 15, que é um conjunto de algoritmos criptográficos aprovado para proteger informações confidenciais e ultrassecretas pela NSA (Agência de Segurança Nacional) dos Estados Unidos. Às vezes, o modo de 192 bits pode ser chamado de "modo Suite B", que é uma referência à especificação de criptografia Suite B da NSA, que foi substituída por CNSA em 2016.
Os modos WPA3-Enterprise e WPA3-Enterprise de 192 bits estão disponíveis a partir do Windows 10, versão 2004 (compilação 19041) e no Windows Server 2022. No entanto, o WPA3-Enterprise foi apontado como um algoritmo de autenticação separado no Windows 11. Em XML, isso é especificado no elemento authEncryption.
A tabela a seguir lista os algoritmos exigidos pelo Conjunto de CNSA.
| Algoritmo | Descrição | Parâmetros |
|---|---|---|
| AES (criptografia AES) | Cifra de bloco simétrico usada para criptografia | Chave de 256 bits (AES-256) |
| Troca de chaves ECDH (curva elíptica Diffie-Hellman) | Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave) | Curva de módulo principal de 384 bits (P-384) |
| ECDSA (algoritmo de assinatura digital de curva elíptica) | Algoritmo assimétrico usado para assinaturas digitais | Curva de módulo principal de 384 bits (P-384) |
| Algoritmo de Hash de Assinatura (SHA) | Função hash criptográfica | SHA-384 |
| Troca de chaves DH (Diffie-Hellman) | Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave) | Módulo de 3072 bits |
| RSA (Rivest-Shamir-Adleman) | Algoritmo assimétrico usado para assinaturas digitais ou estabelecimento de chave | Módulo de 3072 bits |
Alinhando-se ao CNSA, o modo WPA3-Enterprise de 192 bits requer que o EAP-TLS seja usado com os seguintes conjuntos de cifras com restrições:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- ECDHE e ECDSA usando a curva de módulo principal de 384 bits P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384- ECDHE usando a curva de módulo principal de 384 bits P-384
- RSA >= módulo de 3072 bits
Observação
A P-384 também é conhecida como secp384r1 ou nistp384. Outras curvas elípticas, como a P-521, não são permitidas.
O SHA-384 está na família SHA-2 de funções de hash. Outros algoritmos e variantes, como SHA-512 ou SHA3-384, não são permitidos.
O Windows dá suporte somente aos conjuntos de cifras TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 para o modo WPA3-Enterprise de 192 bits. O conjunto de cifras TLS_DHE_RSA_AES_256_GCM_SHA384 não é compatível.
O TLS 1.3 usa novos conjuntos de TLS simplificados, dos quais somente TLS_AES_256_GCM_SHA384 é compatível com o modo WPA3-Enterprise de 192 bits. Como o TLS 1.3 requer (EC)DHE e permite certificados ECDSA ou RSA, além dos hashes AES-256 AEAD e SHA384, TLS_AES_256_GCM_SHA384 é equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. No entanto, o RFC 8446 exige que os aplicativos compatíveis com o TLS 1.3 deem suporte a P-256, o que é proibido pelo CNSA. Portanto, o modo WPA3-Enterprise de 192 bits não pode ser totalmente compatível com o TLS 1.3. No entanto, não há problemas de interoperabilidade conhecidos com o modo TLS 1.3 e WPA3-Enterprise de 192 bits.
Para configurar uma rede com o modo WPA3-Enterprise de 192 bits, o Windows requer que o EAP-TLS seja usado com um certificado que atenda aos requisitos descritos anteriormente.