Протокол расширенной проверки подлинности (EAP) для доступа к сети
Расширяемый протокол проверки подлинности (EAP) — это платформа проверки подлинности, которая позволяет использовать различные методы проверки подлинности для безопасных технологий сетевого доступа. Примеры этих технологий включают беспроводной доступ с помощью IEEE 802.1X, проводного доступа с помощью IEEE 802.1X и подключения типа "точка — точка" (PPP), таких как виртуальная частная сеть (VPN). EAP не является определенным методом проверки подлинности, таким как MS-CHAP версии 2, а платформой, которая позволяет поставщикам сети разрабатывать и устанавливать новые методы проверки подлинности, известные как методы EAP, на клиенте доступа и сервере проверки подлинности. Платформа EAP изначально определена RFC 3748 и расширена различными другими rfcs и стандартами.
методы проверки подлинности;
Методы проверки подлинности EAP, используемые в туннелированных методах EAP, обычно называются внутренними методами или типами EAP. Методы, настроенные как внутренние методы , имеют те же параметры конфигурации, что и при использовании в качестве внешнего метода. В этой статье содержатся сведения о конфигурации, относящиеся к следующим методам проверки подлинности в EAP.
EAP-Transport Layer Security (EAP-TLS): стандартный метод EAP, использующий TLS с сертификатами для взаимной проверки подлинности. Отображается как смарт-карта или другой сертификат (EAP-TLS) в Windows. EAP-TLS можно развернуть как внутренний метод для другого метода EAP или как автономный метод EAP.
Совет
Методы EAP, использующие EAP-TLS, основанные на сертификатах, обычно предлагают самый высокий уровень безопасности. Например, EAP-TLS является единственным разрешенным методом EAP для режима WPA3-Enterprise 192-bit.
Протокол проверки подлинности EAP-Microsoft Challenge Handshake Protocol версии 2 (EAP-MSCHAP версии 2): определенный корпорацией Майкрософт метод EAP, инкапсулирующий протокол проверки подлинности MSCHAP версии 2, который использует имя пользователя и пароль для проверки подлинности. Отображается как безопасный пароль (EAP-MSCHAP версии 2) в Windows. EAP-MSCHAPv2 можно использовать в качестве автономного метода для VPN, но только в качестве внутреннего метода для проводной или беспроводной связи.
Предупреждение
Подключения на основе MSCHAPv2 подвергаются аналогичным атакам, как для NTLMv1. Windows 11 Корпоративная, версия 22H2 (сборка 22621) включает Credential Guard в Защитнике Windows, который может вызвать проблемы с подключениями на основе MSCHAPv2.
Защищенный EAP (PEAP): определенный корпорацией Майкрософт метод EAP, инкапсулирующий EAP в туннеле TLS. Туннель TLS защищает внутренний метод EAP, который может быть незащищен в противном случае. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.
EAP-Tunneled Transport Layer Security (EAP-TTLS): описано RFC 5281, инкапсулирует сеанс TLS, который выполняет взаимную проверку подлинности с помощью другого внутреннего механизма проверки подлинности. Этот внутренний метод может быть протоколом EAP, например EAP-MSCHAP версии 2, или протоколом, отличным от EAP, например протоколом проверки подлинности паролей (PAP). В Windows Server 2012 включение EAP-TTLS обеспечивает поддержку только на стороне клиента (в Windows 8). В настоящее время NPS не поддерживает EAP-TTLS. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими EAP-TTLS.
Модуль удостоверений подписчика EAP (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) и EAP-AKA Prime (EAP-AKA): описано различными RFCS, включает проверку подлинности с помощью SIM-карт и реализуется при покупке клиентом плана беспроводной широкополосной службы от оператора мобильной сети. В рамках плана клиент обычно получает беспроводной профиль, предварительно настроенный для проверки подлинности SIM.
Туннель EAP (TEAP): описано RFC 7170, туннельный метод EAP, который устанавливает безопасный туннель TLS и выполняет другие методы EAP внутри этого туннеля. Поддерживает цепочку EAP — проверку подлинности компьютера и пользователя в одном сеансе проверки подлинности. В Windows Server 2022 включение TEAP обеспечивает поддержку только на стороне клиента — Windows 10 версии 2004 (сборка 19041). В настоящее время NPS не поддерживает TEAP. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими TEAP. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.
В следующей таблице перечислены некоторые распространенные методы EAP и номера назначенных методов IANA.
Метод EAP | Номер назначенного типа IANA | Поддержка Собственных windows |
---|---|---|
MD5-Challenge (EAP-MD5) | 4 | ❌ |
Одноразовый пароль (EAP-OTP) | 5 | ❌ |
Универсальная карточка маркера (EAP-GTC) | 6 | ❌ |
Протокол EAP-TLS | 13 | ✅ |
EAP-SIM | 18 | ✅ |
EAP-TTLS | 21 | ✅ |
EAP-AKA | 23 | ✅ |
PEAP | 25 | ✅ |
EAP-MSCHAP версии 2 | 26 | ✅ |
Защищенный одноразовый пароль (EAP-POTP) | 32 | ❌ |
EAP-FAST | 43 | ❌ |
Общий ключ (EAP-PSK) | 47 | ❌ |
EAP-IKEv2 | 49 | ❌ |
EAP-AKA' | 50 | ✅ |
EAP-EKE | 53 | ❌ |
ГТОЭО | 55 | ✅ |
EAP-NOOB | 56 | ❌ |
Настройка свойств EAP
Вы можете получить доступ к свойствам EAP для проводного и беспроводного доступа 802.1X следующим образом:
- Настройка политик проводной сети (IEEE 802.3) и расширений политик беспроводной сети (IEEE 802.11) в групповой политике.
- Параметры безопасности параметров Windows>политик конфигурации компьютера>>
- Использование программного обеспечения для мобильных Управление устройствами (MDM), таких как Intune (Wi-Fi/Wired)
- Настройка проводных или беспроводных подключений на клиентских компьютерах вручную.
Свойства EAP для подключений виртуальной частной сети (VPN) можно получить следующим образом:
- Использование программного обеспечения для мобильных Управление устройствами (MDM), например Intune
- Настройка VPN-подключений вручную на клиентских компьютерах.
- Использование пакета администрирования диспетчер подключений (CMAK) для настройки VPN-подключений.
Дополнительные сведения о настройке свойств EAP см. в разделе "Настройка профилей и параметров EAP" в Windows.
Профили XML для EAP
Профили, используемые для различных типов подключений, — это XML-файлы, содержащие параметры конфигурации для этого подключения. Каждый другой тип подключения следует определенной схеме:
Однако при настройке использования EAP каждая схема профиля имеет дочерний элемент EapHostConfig .
- Wired/Wireless:
EapHostConfig
является дочерним элементом элемента EAPConfig . Безопасность MSM > (Проводная/беспроводной) > OneX > EAPConfig - VPN:
EapHostConfig
является дочерним элементом конфигурации Eap > проверки подлинности > NativeProfile >
Этот синтаксис конфигурации определен в групповой политике : спецификация расширения беспроводного или проводного протокола.
Примечание.
Различные графические интерфейсы конфигурации не всегда отображают все технически возможные варианты. Например, Windows Server 2019 и более ранних версий не могут настроить TEAP в пользовательском интерфейсе. Однако часто можно импортировать существующий XML-профиль, который ранее был настроен.
Оставшаяся часть статьи предназначена для сопоставления определенных частей пользовательского интерфейса групповой политики/панель управления и параметров конфигурации XML, а также описания параметра.
Дополнительные сведения о настройке профилей XML можно найти в XML-профилях. Пример использования XML-профиля, содержащего параметры EAP, можно найти в разделе "Подготовка профиля Wi-Fi" через веб-сайт.
Параметры безопасности
В следующей таблице описаны настраиваемые параметры безопасности для профиля, использующего 802.1X. Эти параметры сопоставляют с OneX.
Параметр | XML-элемент | Description |
---|---|---|
Выберите метод проверки подлинности сети: | EAPConfig | Позволяет выбрать метод EAP, используемый для проверки подлинности. Просмотр параметров конфигурации метода проверки подлинности и параметров конфигурации сотовой проверки подлинности |
Свойства | Открывает диалоговое окно свойств выбранного метода EAP. | |
Режим проверки подлинности | authMode | Указывает тип учетных данных, используемых для проверки подлинности. Поддерживаются следующие значения: 1. Проверка подлинности пользователя или компьютера 2. Проверка подлинности компьютера 3. Проверка подлинности пользователей 4. Проверка подлинности гостя "Компьютер", в этом контексте, означает "Компьютер" в других ссылках. machineOrUser — значение по умолчанию в Windows. |
Макс. число ошибок проверки подлинности | maxAuthFailures | Указывает максимальное количество сбоев проверки подлинности, разрешенных для набора учетных данных, по умолчанию 1 . |
Кэширование сведений о пользователе для последующих подключений к этой сети | cacheUserData | Указывает, следует ли кэшировать учетные данные пользователя для последующих подключений к той же сети, по true умолчанию . |
Дополнительные параметры > безопасности IEEE 802.1X
Если установлен флажок "Применить расширенные параметры 802.1X", все перечисленные ниже параметры будут настроены. Если флажок снят, применяются параметры по умолчанию. В XML все элементы являются необязательными, при этом значения по умолчанию используются, если они отсутствуют.
Параметр | XML-элемент | Description |
---|---|---|
Max Eapol-Start Msgs | maxStart | Указывает максимальное количество сообщений EAPOL-Start, которые можно отправить на сервер authenticator (RADIUS), прежде чем запрашивающий (клиент Windows) предполагает, что отсутствует средство проверки подлинности, используемое 3 по умолчанию. |
Период начала (секунды) | startPeriod | Указывает период времени (в секундах), до того как сообщение EAPOL-Start будет отправлено для запуска процесса проверки подлинности 802.1X, по 5 умолчанию . |
Период хранения (секунды) | heldPeriod | Указывает период времени (в секундах) для ожидания после неудачной попытки проверки подлинности повторной проверки подлинности, используемой 1 по умолчанию. |
Период проверки подлинности (секунды) | authPeriod | Указывает период времени (в секундах) для ожидания ответа от сервера проверки подлинности (RADIUS-сервера), прежде чем предположить, что отсутствует средство проверки подлинности, по 18 умолчанию . |
Сообщение "Eapol-Start" | supplicantMode | Задает метод передачи, используемый для сообщений EAPOL-Start. Поддерживаются следующие значения: 1. Не передавать ( inhibitTransmission )2. Передача ( includeLearning )3. Передача на IEEE 802.1X ( compliant )"Компьютер", в этом контексте, означает "Компьютер" в других ссылках. compliant значение по умолчанию в Windows и является единственным допустимым вариантом для беспроводных профилей. |
Дополнительные параметры > безопасности Единый вход
В следующей таблице описываются параметры Единый вход (единый вход), ранее известный как поставщик доступа для входа в систему (PLAP).
Параметр | XML-элемент | Description |
---|---|---|
Включение Единый вход для этой сети | singleSignOn | Указывает, включен ли единый вход для этой сети по умолчанию false . Не используйте singleSignOn в профиле, если сеть не требует его. |
Выполнение непосредственно перед пользователем Выполнение сразу после пользователя |
type | Указывает, когда должен выполняться единый вход — либо до, либо после входа пользователя. |
Максимальная задержка для подключения (секунды) | maxDelay | Указывает максимальную задержку (в секундах), прежде чем попытка единого входа завершается сбоем, по умолчанию 10 . |
Разрешить отображение дополнительных диалогов во время Единый вход | allowAdditionalDialogs | Указывает, следует ли разрешать отображение диалоговых окон EAP во время единого входа по умолчанию false . |
Эта сеть использует другую виртуальную локальную сеть для проверки подлинности с помощью учетных данных компьютера и пользователя | userBasedVirtualLan | Указывает, изменяется ли виртуальная локальная сеть (VLAN), используемая устройством на основе учетных данных пользователя, по умолчанию false . |
Параметры конфигурации метода проверки подлинности
Внимание
Если сервер сетевого доступа настроен для того же типа метода проверки подлинности для туннелированного метода EAP (например, PEAP) и не туннелированного метода EAP (например, EAP-MSCHAP версии 2), существует потенциальная уязвимость безопасности. При развертывании туннелированного метода EAP и EAP (который не защищен), не используйте один и тот же тип проверки подлинности. Например, при развертывании PEAP-TLS не развертывайте протокол EAP-TLS. Это связано с тем, что если требуется защита туннеля, она не служит ни для каких целей, чтобы разрешить выполнение метода за пределами туннеля.
В следующей таблице описываются настраиваемые параметры для каждого метода проверки подлинности.
Параметры EAP-TLS в пользовательском интерфейсе сопоставляются с EapTlsConnectionPropertiesV1, который расширен EapTlsConnectionPropertiesV2 и EapTlsConnectionPropertiesV3.
Параметр | XML-элемент | Description |
---|---|---|
Использование смарт-карты | SmartCard CredentialsSource > | Указывает, что клиенты, выполняющие запросы проверки подлинности, должны представлять сертификат смарт-карты для проверки подлинности сети. |
Использование сертификата на этом компьютере | CredentialsSource > CertificateStore | Указывает, что проверка подлинности клиентов должна использовать сертификат, расположенный в хранилищах сертификатов текущего пользователя или локального компьютера. |
Использование простого выбора сертификата (рекомендуется) | SimpleCertSelection | Указывает, будет ли Windows автоматически выбирать сертификат для проверки подлинности без взаимодействия с пользователем (если это возможно) или если Windows отобразит раскрывающийся список для пользователя, чтобы выбрать сертификат. |
Расширенные | Открывает диалоговое окно "Настройка выбора сертификата". | |
Параметры проверки сервера | ||
Использование другого имени пользователя для подключения | DifferentUsername | Указывает, следует ли использовать имя пользователя для проверки подлинности, отличное от имени пользователя в сертификате. |
Ниже перечислены параметры конфигурации для настройки выбора сертификата. Эти параметры определяют критерии, которые клиент использует для выбора соответствующего сертификата для проверки подлинности. Этот пользовательский интерфейс сопоставляется с TLSExtensions > FilteringInfo.
Параметр | XML-элемент | Description |
---|---|---|
Издатель сертификата | CAHashList Enabled="true" |
Указывает, включена ли фильтрация издателя сертификатов. Если включены поставщик сертификатов и расширенное использование ключей (EKU), то для проверки подлинности клиента на сервере считаются только те сертификаты, которые соответствуют обоим условиям. |
Корневые центры сертификации | IssuerHash | Перечисляет имена всех издателей, для которых соответствующие сертификаты центра сертификации (ЦС) присутствуют в доверенных корневых центрах сертификации или хранилище сертификатов промежуточных центров сертификации учетной записи локального компьютера. В том числе: 1. Все корневые центры сертификации и промежуточные центры сертификации. В XML это отпечаток SHA-1 (хэш) сертификата. |
Расширенное использование ключей (EKU) | Позволяет выбрать все назначения, проверку подлинности клиента, AnyPurpose или любую комбинацию этих значений. Указывает, что при выборе сочетания все сертификаты, удовлетворяющие по крайней мере одному из трех условий, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Если фильтрация EKU включена, необходимо выбрать один из вариантов, в противном случае флажок расширенного использования ключей (EKU) будет снят. | |
Все назначение | AllPurposeEnabled | При выборе этот элемент указывает, что сертификаты, имеющие EKU "Все назначения ", считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для всех целей имеет 0 или пуст. |
Аутентификация клиента | ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) |
Указывает, что сертификаты, имеющие EKU проверки подлинности клиента, и указанный список EKUs считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для проверки подлинности 1.3.6.1.5.5.7.3.2 клиента. |
AnyPurpose | AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) |
Указывает, что все сертификаты, имеющие EKU AnyPurpose и указанный список EKUs, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для AnyPurpose.1.3.6.1.4.1.311.10.12.1 |
Прибавить | EKUMapping > EKUMap > EKUName/EKUOID | Открывает диалоговое окно "Выбор EKUs" , которое позволяет добавлять стандартные, пользовательские или пользовательские EKUs, относящиеся к поставщику, в список проверки подлинности клиента или AnyPurpose . При нажатии кнопки "Добавить или изменить" в диалоговом окне "Выбор EKUs" откроется диалоговое окно "Добавить и изменить EKU", которое предоставляет два варианта: Например, ввод |
Изменить | Позволяет редактировать пользовательские EKUs, которые вы добавили. По умолчанию предопределенные EKUs не могут быть изменены. | |
Удалить | Удаляет выбранный EKU из списка проверки подлинности клиента или AnyPurpose . |
Серверная проверка
Многие методы EAP включают параметр для клиента для проверки сертификата сервера. Если сертификат сервера не проверен, клиент не может убедиться, что он взаимодействует с правильным сервером. Это предоставляет клиенту риски безопасности, включая возможность того, что клиент может неназнательно подключиться к изгоев сети.
Примечание.
Для Windows требуется сертификат сервера с EKU проверки подлинности сервера. Идентификатор объекта (OID) для этого EKU 1.3.6.1.5.5.7.3.1
.
В следующей таблице перечислены параметры проверки сервера, применимые к каждому методу EAP. Windows 11 обновила логику проверки сервера, чтобы быть более согласованной (см. статью "Обновлено поведение проверки сертификата сервера" в Windows 11). Если они конфликтуют, описания в следующей таблице описывают поведение Windows 10 и более ранних версий.
Параметр | XML-элемент | Description |
---|---|---|
Проверка удостоверения сервера путем проверки сертификата | EAP-TLS: ВыполнениеServerValidation PEAP: ВыполнениеServerValidation |
Этот элемент указывает, что клиент проверяет, что сертификаты сервера, представленные клиентскому компьютеру, имеют правильные подписи, не истекли и были выданы доверенным корневым центром сертификации (ЦС). Отключение этого флажка приводит к тому, что клиентские компьютеры не смогут проверить удостоверение серверов во время процесса проверки подлинности. Если проверка подлинности сервера не возникает, пользователи подвергаются серьезным рискам безопасности, включая возможность того, что пользователи могут неназнательно подключаться к изгоев сети. |
Подключение к этим серверам | EAP-TLS: ServerValidation > ServerNames PEAP: ServerValidation > ServerNames EAP-TTLS: ServerValidation> Имя сервера ГТОЭО: ServerValidation> Имя сервера |
Позволяет указать имя серверов службы пользователей удаленной проверки подлинности (RADIUS), которые обеспечивают проверку подлинности сети и авторизацию. Необходимо ввести имя точно так же , как оно отображается в поле темы каждого сертификата сервера RADIUS или использовать регулярные выражения (regex), чтобы указать имя сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для отличия регулярного выражения с литеральной строкой необходимо использовать по крайней мере один Кроме того, можно включить разделять Если серверы RADIUS не указаны, клиент проверяет, выдан ли сертификат сервера RADIUS доверенным корневым ЦС. |
Доверенные корневые центры сертификации | EAP-TLS: ServerValidation > TrustedRootCA PEAP: ServerValidation > TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes ГТОЭО: ServerValidation> TrustedRootCAHashes |
Выводит список доверенных корневых центров сертификации. Список создается из доверенных корневых ЦС, установленных на компьютере и в хранилищах сертификатов пользователя. Вы можете указать, какие доверенные корневые сертификаты ЦС используются для определения того, доверяют ли они серверам, например серверу, на котором запущен сервер политики сети (NPS) или сервер подготовки. Если доверенные корневые ЦС не выбраны, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS установленным доверенным корневым ЦС. Если выбран один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS выбранным доверенным корневым ЦС. Если доверенные корневые центры сертификации не выбраны, клиент проверяет, выдан ли сертификат сервера RADIUS любым доверенным корневым ЦС. Если у вас есть инфраструктура открытого ключа (PKI) в сети, и вы используете ЦС для выдачи сертификатов серверам RADIUS, сертификат ЦС автоматически добавляется в список доверенных корневых ЦС. Вы также можете приобрести сертификат ЦС от поставщика, отличного от Майкрософт. Некоторые доверенные корневые центры сертификации майкрософт предоставляют программное обеспечение с приобретенным сертификатом, который автоматически устанавливает приобретенный сертификат в хранилище сертификатов доверенных корневых центров сертификации. В этом случае доверенный корневой ЦС автоматически отображается в списке доверенных корневых ЦС. Не указывайте доверенный сертификат корневого ЦС, который еще не указан в сертификатах доверенных корневых центров сертификации клиентских компьютеров для текущего пользователя и локального компьютера. Если вы назначите сертификат, который не установлен на клиентских компьютерах, проверка подлинности завершится ошибкой. В XML это отпечаток SHA-1 (хэш) сертификата (или SHA-256 для TEAP). |
Запрос пользователя проверки сервера
В следующей таблице перечислены параметры запроса пользователя проверки сервера, применимые к каждому методу EAP. Эти параметры будут использоваться в случае ненадежного сертификата сервера.
- немедленно завершить подключение или
- разрешить пользователю вручную принять или отклонить подключение.
Параметр | XML-элемент |
---|---|
Не запрашивайте у пользователя авторизацию новых серверов или доверенных центров сертификации | ServerValidation DisableUserPromptForServerValidation > |
Запрещает пользователю доверять сертификату сервера, если этот сертификат настроен неправильно, не является доверенным или обоим (если он включен). Чтобы упростить взаимодействие с пользователем и запретить пользователям ошибочно доверять серверу, развернутым злоумышленником, рекомендуется установить этот флажок.
Параметры конфигурации проверки подлинности сотовой связи
Ниже перечислены параметры конфигурации для EAP-SIM, EPA-AKA и EPA-AKA соответственно.
EAP-SIM определен в RFC 4186. Модуль удостоверений подписчика EAP используется для проверки подлинности и распространения ключей сеанса с помощью модуля идентификации подписчика (SIM) поколения 2-го поколения глобальной системы мобильной связи (GSM).
Параметры EAP-SIM в пользовательском интерфейсе сопоставлены с EapSimConnectionPropertiesV1.
Товар | XML-элемент | Description |
---|---|---|
Использование надежных ключей шифров | UseStrongCipherKeys | Указывает, что если выбрано, профиль использует строгое шифрование. |
Не показывайте реальное удостоверение на сервере, если удостоверение псевдонима доступно | DontRevealPermanentID | Если этот параметр включен, клиент должен завершить проверку подлинности, если сервер запрашивает постоянное удостоверение, хотя у клиента есть псевдоним. Псевдонимные удостоверения используются для конфиденциальности удостоверений, чтобы фактическое или постоянное удостоверение пользователя не отображалось во время проверки подлинности. |
ProviderName | Доступна только в XML-коде строка, указывающая имя поставщика, которое разрешено для проверки подлинности. | |
Включение использования областей | Realm=true |
Предоставляет место для ввода имени области. Если это поле остается пустым с выбранным параметром "Включить использование областей ", область является производным от международного удостоверения мобильного подписчика (IMSI) с помощью области 3gpp.org, как описано в стандарте 23.003 V6.8.06.0, как описано в стандарте 3-го поколения партнерства (3GPP). |
Указание области | Realm | Предоставляет место для ввода имени области. Если включено включение использования областей , эта строка используется. Если это поле пусто, используется производная область. |
192-разрядный режим WPA3-Enterprise
Режим WPA3-Enterprise 192-разрядного режима — это специальный режим для WPA3-Enterprise, который применяет определенные высокие требования безопасности к беспроводному подключению, чтобы обеспечить не менее 192 бит безопасности. Эти требования соответствуют набору алгоритмов коммерческой национальной безопасности (CNSA), CNSSP 15, который является набором криптографических алгоритмов, утвержденных для защиты секретной информации США Агентства национальной безопасности (NSA). 192-разрядный режим иногда можно называть "режимом B Suite B", который является ссылкой на спецификацию шифрования NSA Suite B, которая была заменена CNSA в 2016 году.
Режим WPA3-Enterprise и WPA3-Enterprise 192-bit доступны начиная с Windows 10 версии 2004 (сборка 19041) и Windows Server 2022. Однако WPA3-Enterprise был выделен в качестве отдельного алгоритма проверки подлинности в Windows 11. В XML это указано в элементе authEncryption .
В следующей таблице перечислены алгоритмы, необходимые для CNSA Suite.
Алгоритм | Description | Параметры |
---|---|---|
Стандарт AES (Advanced Encryption Standard) | Симметричный блочный шифр, используемый для шифрования | 256-разрядный ключ (AES-256) |
Обмен ключами эллиптической кривой Диффи-Хеллман (ECDH) | Асимметричный алгоритм, используемый для установления общего секрета (ключа) | 384-разрядная кривая основного модуля (P-384) |
Алгоритм цифровой подписи с многоточием (ECDSA) | Асимметричный алгоритм, используемый для цифровых подписей | 384-разрядная кривая основного модуля (P-384) |
алгоритм SHA | Функция хэша шифрования | SHA-384 |
Обмен ключами Diffie-Hellman (DH) | Асимметричный алгоритм, используемый для установления общего секрета (ключа) | 3072-разрядный модуль |
Ривст-Шамир-Адлеман (RSA) | Асимметричный алгоритм, используемый для цифровых подписей или создания ключей | 3072-разрядный модуль |
В соответствии с CNSA, wpA3-Enterprise 192-разрядного режима требуется, чтобы EAP-TLS использовался со следующими наборами шифров с ограничениями:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE и ECDSA с использованием 384-разрядной основной модулы кривой P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
/TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE с помощью 384-разрядной основной модулы кривой P-384
- RSA >= 3072-разрядный модуль
Примечание.
P-384 также называется secp384r1
или nistp384
. Другие эллиптические кривые, такие как P-521, не допускаются.
SHA-384 находится в семействе хэш-функций SHA-2. Другие алгоритмы и варианты, такие как SHA-512 или SHA3-384, не допускаются.
Windows поддерживает только TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
наборы шифров для wpA3-Enterprise 192-разрядного режима. Набор TLS_DHE_RSA_AES_256_GCM_SHA384
шифров не поддерживается.
TLS 1.3 использует новые упрощенные наборы TLS, из которых совместим только TLS_AES_256_GCM_SHA384
с режимом WPA3-Enterprise 192-bit. Так как протокол TLS 1.3 требует DHE и разрешает сертификаты ECDSA или RSA, а также хэш AES-256 AEAD и SHA384, TLS_AES_256_GCM_SHA384
эквивалентны TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
и TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
. Тем не менее, RFC 8446 требует, чтобы приложения TLS 1.3 поддерживали P-256, которые запрещены CNSA. Поэтому 192-разрядный режим WPA3-Enterprise не может быть полностью совместим с TLS 1.3. Однако известные проблемы взаимодействия с TLS 1.3 и WPA3-Enterprise 192-bit mode отсутствуют.
Чтобы настроить сеть для режима WPA3-Enterprise 192-разрядного режима, Windows требует, чтобы EAP-TLS использовался с сертификатом, соответствующим требованиям, описанным ранее.