EAP-TLS: возможно ли прослушивание при совместном использовании сертификата клиента?

Question

EAP-TLS: возможно ли прослушивание при совместном использовании сертификата клиента?

Я хочу знать, как разделить сеть предприятия WPA2 с EAP-TLS, аутентифицируя пользователей с помощью общего сертификата. Они имеют один и тот же сертификат. Боюсь, они могут контролировать друг друга. Это возможно? В EAP-TLS шифруют ли клиенты свои пакеты с помощью своих собственных сертификатов или других сеансовых ключей или еще? На самом деле все пакеты в WPA2 зашифрованы, но как?

1

certificate tls radius 802.1 eap

Источник

jumeno 08 дек '14 в 06:59

1 ответ

Решение

Другие вопросы по тегам certificate tls radius 802.1 eap

Crypt32 08 дек '14 в 07:55 2014-12-08 07:55 · Accepted Answer · 2014-12-08 07:55

Боюсь, они могут контролировать друг друга. Это возможно?

Да, это возможно. Клиенты используют свой сертификат для защиты сеансового ключа. Поэтому, если клиенты совместно используют один и тот же сертификат с одним и тем же закрытым ключом - они могут перехватывать и дешифровать сеансовый ключ и, в конечном итоге, все зашифрованные данные.

В EAP-TLS шифруют ли клиенты свои пакеты с помощью своих собственных сертификатов или других сеансовых ключей или еще?

пакеты зашифрованы сессионным ключом, который используется клиентом и сервером. После того, как одноранговые узлы успешно аутентифицируют друг друга, генерируется сеансовый ключ. Сгенерированный сеансовый ключ шифруется открытым ключом партнера. То есть, когда сервер что-то шифрует с помощью открытого ключа клиента, только соответствующий владелец личного ключа может расшифровать его. В вашем случае все владельцы сертификатов смогут расшифровать его.

В результате разделение одного и того же сертификата и закрытого ключа между клиентами не очень хорошая идея.