Поделиться через

Протокол расширенной проверки подлинности (EAP) для доступа к сети

Расширяемый протокол проверки подлинности (EAP) — это платформа проверки подлинности, которая позволяет использовать различные методы проверки подлинности для безопасных технологий сетевого доступа. Примеры этих технологий включают беспроводной доступ с помощью IEEE 802.1X, проводного доступа с помощью IEEE 802.1X и подключения типа "точка — точка" (PPP), таких как виртуальная частная сеть (VPN). EAP не является определенным методом проверки подлинности, например MS-CHAP версии 2, а платформой, которая позволяет поставщикам сети разрабатывать и устанавливать новые методы проверки подлинности, известные как методы EAP на клиенте доступа и сервере проверки подлинности. Платформа EAP изначально определена RFC 3748 и расширена различными другими rfcs и стандартами.

Методы проверки подлинности

Методы проверки подлинности EAP, используемые в туннелированных методах EAP, обычно называются внутренними методами или типами EAP. Методы, настроенные как внутренние методы , имеют те же параметры конфигурации, что и при использовании в качестве внешнего метода. В этой статье содержатся сведения о конфигурации, относящиеся к следующим методам проверки подлинности в EAP.

EAP-Transport Layer Security (EAP-TLS): стандартный метод EAP, использующий TLS с сертификатами для взаимной проверки подлинности. Отображается как смарт-карта или другой сертификат (EAP-TLS) в Windows. EAP-TLS можно развернуть как внутренний метод для другого метода EAP или как автономный метод EAP.

Tip

Методы EAP, использующие EAP-TLS, основанные на сертификатах, обычно предлагают самый высокий уровень безопасности. Например, EAP-TLS является единственным разрешенным методом EAP для режима WPA3-Enterprise 192-bit.

Протокол проверки подлинности EAP-Microsoft Challenge Handshake Protocol версии 2 (EAP-MSCHAP версии 2): определенный корпорацией Майкрософт метод EAP, инкапсулирующий протокол проверки подлинности MSCHAP версии 2, который использует имя пользователя и пароль для проверки подлинности. Отображается как безопасный пароль (EAP-MSCHAP версии 2) в Windows. EAP-MSCHAPv2 можно использовать в качестве автономного метода для VPN, но только в качестве внутреннего метода для проводных или беспроводных подключений.

Warning

Подключения на основе MSCHAPv2 подвергаются аналогичным атакам, как для NTLMv1. Windows 11 Корпоративная, версия 22H2 (сборка 22621) включает Credential Guard в Защитнике Windows, что может вызвать проблемы с подключениями на основе MSCHAPv2.

Защищенный EAP (PEAP): определенный корпорацией Майкрософт метод EAP, инкапсулирующий EAP в туннеле TLS. Туннель TLS защищает внутренний метод EAP, который может быть незащищен в противном случае. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.

EAP-Tunneled транспортный уровень безопасности (EAP-TTLS): это описывается в RFC 5281, инкапсулирует сеанс TLS, который выполняет взаимную аутентификацию с помощью другого внутреннего механизма аутентификации. Этот внутренний метод может быть протоколом EAP, например EAP-MSCHAP версии 2, или протоколом, отличным от EAP, например протоколом проверки подлинности паролей (PAP). В Windows Server 2012 включение EAP-TTLS обеспечивает поддержку только на стороне клиента (в Windows 8). В настоящее время NPS не поддерживает EAP-TTLS. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими EAP-TTLS.

модуль удостоверенийEAP-Subscriber (EAP-SIM), EAP-Authentication и ключевое соглашение (EAP-AKA) и EAP-AKA Prime (EAP-AKA): это описано различными rfCs, обеспечивает проверку подлинности с помощью SIM-карт и реализуется при покупке клиентом плана беспроводной широкополосной службы от оператора мобильной сети. В рамках плана клиент обычно получает беспроводной профиль, предварительно настроенный для проверки подлинности SIM.

Туннель EAP (TEAP): описан в RFC 7170, туннельный метод EAP, который устанавливает безопасный туннель TLS и выполняет другие методы EAP внутри этого туннеля. Поддерживает цепочку EAP — проверку подлинности компьютера и пользователя в одном сеансе проверки подлинности. В Windows Server 2022 включение TEAP обеспечивает поддержку только на стороне клиента — Windows 10 версии 2004 (сборка 19041). В настоящее время NPS не поддерживает TEAP. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими TEAP. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.

В следующей таблице перечислены некоторые распространенные методы EAP и номера назначенных методов IANA.

Метод EAP Номер назначенного типа IANA Поддержка Собственных windows
MD5-Challenge (EAP-MD5) 4
Одноразовый пароль (EAP-OTP) 5
Универсальная карточка маркера (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP версии 2 26
Защищенный одноразовый пароль (EAP-POTP) 32
EAP-FAST 43
Общий ключ (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Настройка свойств EAP

Вы можете получить доступ к свойствам EAP для проводного и беспроводного доступа 802.1X следующим образом:

  • Настройка политик проводной сети (IEEE 802.3) и расширений политик беспроводной сети (IEEE 802.11) в групповой политике.
    • Конфигурация> компьютераПолитики>Параметры> WindowsПараметры безопасности
  • Использование программного обеспечения управления мобильными устройствами (MDM), например Intune (Wi-Fi/Wired)
  • Настройка проводных или беспроводных подключений на клиентских компьютерах вручную.

Свойства EAP для подключений виртуальной частной сети (VPN) можно получить следующим образом:

  • Использование программного обеспечения управления мобильными устройствами (MDM), например Intune
  • Настройка VPN-подключений вручную на клиентских компьютерах.
  • Использование пакета администрирования диспетчер подключений (CMAK) для настройки VPN-подключений.

Дополнительные сведения о настройке свойств EAP см. в разделе "Настройка профилей и параметров EAP" в Windows.

Профили XML для EAP

Профили, используемые для различных типов подключений, — это XML-файлы, содержащие параметры конфигурации для этого подключения. Каждый другой тип подключения следует определенной схеме:

Однако при настройке использования EAP каждая схема профиля имеет дочерний элемент EapHostConfig .

  • Wired/Wireless: EapHostConfig является дочерним элементом элемента EAPConfig . >
  • VPN: EapHostConfig является дочерним элементом конфигурации Eap > проверки подлинности > NativeProfile >

Этот синтаксис конфигурации определен в групповой политике : спецификация расширения беспроводного или проводного протокола.

Note

Различные графические интерфейсы конфигурации не всегда отображают все технически возможные варианты. Например, Windows Server 2019 и более ранних версий не могут настроить TEAP в пользовательском интерфейсе. Однако часто можно импортировать существующий XML-профиль, который ранее был настроен.

Оставшаяся часть статьи предназначена для сопоставления специальных для EAP разделов пользовательского интерфейса в групповой политике или панели управления с параметрами конфигурации XML, а также для предоставления описания настроек.

Дополнительные сведения о настройке профилей XML можно найти в XML-профилях. Пример использования XML-профиля, содержащего параметры EAP, можно найти в разделе "Подготовка профиля Wi-Fi" через веб-сайт.

Параметры безопасности

В следующей таблице описаны настраиваемые параметры безопасности для профиля, использующего 802.1X. Эти параметры сопоставляют с OneX.

Setting XML element Description
Выберите метод проверки подлинности сети: EAPConfig Позволяет выбрать метод EAP, используемый для проверки подлинности. Просмотр параметров конфигурации метода проверки подлинности и параметров конфигурации сотовой проверки подлинности
Properties Открывает диалоговое окно свойств выбранного метода EAP.
Режим проверки подлинности authMode Указывает тип учетных данных, используемых для проверки подлинности. Поддерживаются следующие значения:

1. Проверка подлинности пользователя или компьютера
2. Проверка подлинности компьютера
3. Проверка подлинности пользователей
4. Проверка подлинности гостя

"Компьютер", в этом контексте, означает "Компьютер" в других ссылках. machineOrUser — значение по умолчанию в Windows.
Макс. число ошибок проверки подлинности maxAuthFailures Указывает максимальное количество сбоев проверки подлинности, разрешенных для набора учетных данных, по умолчанию 1.
Кэширование сведений о пользователе для последующих подключений к этой сети cacheUserData Указывает, следует ли кэшировать учетные данные пользователя для последующих подключений к той же сети, по trueумолчанию .

Дополнительные параметры > безопасности IEEE 802.1X

Если установлен флажок "Применить расширенные параметры 802.1X ", все перечисленные ниже параметры настроены. Если флажок снят, применяются параметры по умолчанию. В XML все элементы являются необязательными, при этом значения по умолчанию используются, если они отсутствуют.

Setting XML element Description
Максимальное количество сообщений Eapol-Start maxStart Указывает максимальное количество сообщений EAPOL-Start, которые можно отправить на сервер authenticator (RADIUS), прежде чем запрашивающий (клиент Windows) предполагает, что отсутствует средство проверки подлинности, используемое 3по умолчанию.
Период начала (секунды) startPeriod Указывает период времени (в секундах), до того как сообщение EAPOL-Start будет отправлено для запуска процесса проверки подлинности 802.1X, по 5умолчанию .
Период хранения (секунды) heldPeriod Указывает период времени (в секундах) для ожидания после неудачной попытки проверки подлинности повторной проверки подлинности, используемой 1по умолчанию.
Период проверки подлинности (секунды) authPeriod Указывает период времени (в секундах) для ожидания ответа от сервера проверки подлинности (RADIUS-сервера), прежде чем предположить, что отсутствует средство проверки подлинности, по 18умолчанию .
Сообщение Eapol-Start supplicantMode Задает метод передачи, используемый для сообщений EAPOL-Start. Поддерживаются следующие значения:

1. Не передавать (inhibitTransmission)
2. Передача (includeLearning)
3. Передача на IEEE 802.1X (compliant)

"Компьютер", в этом контексте, означает "Компьютер" в других ссылках. compliant значение по умолчанию в Windows и является единственным допустимым вариантом для беспроводных профилей.

Дополнительные параметры > безопасности Единый вход

В следующей таблице описываются параметры Единый вход (единый вход), ранее известный как поставщик доступа для входа в систему (PLAP).

Setting XML element Description
Включение Единый вход для этой сети singleSignOn Указывает, включен ли единый вход для этой сети по умолчанию false. Не используйте singleSignOn в профиле, если сеть не требует его.
Выполнение непосредственно перед пользователем

Выполнение сразу после пользователя		 type Указывает, когда должен выполняться единый вход — либо до, либо после входа пользователя.
Максимальная задержка для подключения (секунды) maxDelay Указывает максимальную задержку (в секундах), прежде чем попытка единого входа завершается сбоем, по умолчанию 10.
Разрешить отображение дополнительных диалогов во время Единый вход allowAdditionalDialogs Указывает, следует ли разрешать отображение диалоговых окон EAP во время единого входа по умолчанию false.
Эта сеть использует другую виртуальную локальную сеть для проверки подлинности с помощью учетных данных компьютера и пользователя userBasedVirtualLan Указывает, изменяется ли виртуальная локальная сеть (VLAN), используемая устройством на основе учетных данных пользователя, по умолчанию false.

Параметры конфигурации метода проверки подлинности

Caution

Если сервер сетевого доступа настроен для разрешения того же типа метода проверки подлинности для туннелированного метода EAP (например, PEAP) и не туннелированного метода EAP (например, EAP-MSCHAP версии 2), существует потенциальная уязвимость безопасности. При развертывании туннелированного метода EAP и EAP (который не защищен), не используйте один и тот же тип проверки подлинности. Например, если вы развертываете PEAP-TLS, не развертывайте EAP-TLS, так как если требуется защита туннеля, она не служит ни для каких целей, чтобы разрешить выполнение метода за пределами туннеля.

В следующей таблице описываются настраиваемые параметры для каждого метода проверки подлинности.

Параметры EAP-TLS в сопоставлении пользовательского интерфейса с EapTlsConnectionPropertiesV1, который расширен EapTlsConnectionPropertiesV2 и EapTlsConnectionPropertiesV3.

Setting XML element Description
Использование смарт-карты CredentialsSource>Смарт-карта Указывает, что клиенты, выполняющие запросы проверки подлинности, должны представлять сертификат смарт-карты для проверки подлинности сети.
Использование сертификата на этом компьютере CredentialsSource>CertificateStore Указывает, что проверка подлинности клиентов должна использовать сертификат, расположенный в хранилищах сертификатов текущего пользователя или локального компьютера.
Использование простого выбора сертификата (рекомендуется) SimpleCertSelection Указывает, будет ли Windows автоматически выбирать сертификат для проверки подлинности без взаимодействия с пользователем (если это возможно) или если Windows отображает раскрывающийся список для пользователя, чтобы выбрать сертификат.
Advanced Открывает диалоговое окно "Настройка выбора сертификата".
Параметры проверки сервера
Использование другого имени пользователя для подключения DifferentUsername Указывает, следует ли использовать имя пользователя для проверки подлинности, отличное от имени пользователя в сертификате.

Ниже перечислены параметры конфигурации для настройки выбора сертификата. Эти параметры определяют критерии, которые клиент использует для выбора соответствующего сертификата для проверки подлинности. Этот пользовательский интерфейс сопоставляется с TLSExtensions>FilteringInfo.

Setting XML element Description
Издатель сертификатов CAHashListEnabled="true" Указывает, включена ли фильтрация издателя сертификатов.

Если включены поставщик сертификатов и расширенное использование ключей (EKU), то для проверки подлинности клиента на сервере считаются только те сертификаты, которые соответствуют обоим условиям.
Корневые центры сертификации IssuerHash Перечисляет имена всех издателей, для которых соответствующие сертификаты центра сертификации (ЦС) присутствуют в доверенных корневых центрах сертификации или хранилище сертификатов промежуточных центров сертификации учетной записи локального компьютера. К ним относятся:

  • Все корневые центры сертификации и промежуточные центры сертификации.
  • Содержит только тех издателей сертификатов, для которых имеются соответствующие действующие и хранящиеся на компьютере сертификаты (например, сертификаты, срок действия которых не истек или не были отозваны).
  • Окончательный список сертификатов, разрешенных для проверки подлинности, содержит только те сертификаты, которые были выданы любым из издателей, выбранных в этом списке.

    • В XML это отпечаток SHA-1 (хэш) сертификата.
    Расширенное использование ключей (EKU) Позволяет выбрать все назначения, проверку подлинности клиента, AnyPurpose или любую комбинацию этих значений. Указывает, что при выборе сочетания все сертификаты, удовлетворяющие по крайней мере одному из трех условий, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Если фильтрация EKU включена, необходимо выбрать один из вариантов, в противном случае флажок расширенного использования ключей (EKU) будет снят.
    Все назначение AllPurposeEnabled При выборе этот элемент указывает, что сертификаты, имеющие EKU "Все назначения ", считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для всех целей имеет 0 или пуст.
    Проверка подлинности клиента ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Указывает, что сертификаты, имеющие EKU проверки подлинности клиента , и указанный список EKUs считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для проверки подлинности1.3.6.1.5.5.7.3.2клиента.
    AnyPurpose AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Указывает, что все сертификаты, имеющие EKU AnyPurpose и указанный список EKUs, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для AnyPurpose.1.3.6.1.4.1.311.10.12.1
    Add EKUMapping > EKUMap > EKUName/EKUOID Открывает диалоговое окно "Выбор EKUs" , которое позволяет добавлять стандартные, пользовательские или пользовательские EKUs, относящиеся к поставщику, в список проверки подлинности клиента или AnyPurpose .

    При нажатии кнопки "Добавить или изменить " в диалоговом окне "Выбор EKUs" откроется диалоговое окно "Добавить и изменить EKU ", которое предоставляет два варианта:

    1. Введите имя EKU . Предоставляет место для ввода имени пользовательского EKU.
    2. Введите идентификатор EKU . Предоставляет место для ввода идентификатора OID для EKU. Разрешены только числовые цифры, разделители и . разрешены. Подстановочные карточки разрешены, в этом случае разрешены все дочерние OID в иерархии.

    Например, ввод 1.3.6.1.4.1.311.* позволяет 1.3.6.1.4.1.311.42 и 1.3.6.1.4.1.311.42.2.1.
    Edit Позволяет изменять настраиваемые EKUs, которые вы добавили. По умолчанию предопределенные EKUs не могут быть изменены.
    Remove Удаляет выбранный EKU из списка проверки подлинности клиента или AnyPurpose .

    Проверка сертификата сервера

    Многие методы EAP включают параметр для клиента для проверки сертификата сервера. Если сертификат сервера не проверен, клиент не может убедиться, что он взаимодействует с правильным сервером. Это предоставляет клиенту риски безопасности, включая возможность того, что клиент может неназнательно подключиться к изгоев сети.

    Note

    Для Windows требуется сертификат сервера с EKU проверки подлинности сервера . Идентификатор объекта (OID) для этого EKU 1.3.6.1.5.5.7.3.1.

    В следующей таблице перечислены параметры проверки сервера, применимые к каждому методу EAP. Windows 11 обновила логику проверки сервера, чтобы быть более согласованной. Дополнительные сведения см. в статье Об обновленном поведении проверки сертификатов сервера в Windows 11. Если они конфликтуют, описания в следующей таблице описывают поведение Windows 10 и более ранних версий.

    Setting XML element Description
    Проверка удостоверения сервера путем проверки сертификата EAP-TLS:
    PerformServerValidation

    PEAP:
    PerformServerValidation    		 Этот элемент требует, чтобы клиент проверял, что серверные сертификаты, представленные клиентскому компьютеру, соответствуют следующим условиям:

  • Правильные подписи
  • Срок действия подписей не истек
  • Были выданы доверенным корневым удостоверяющим центром (УЦ)

    • Отключение этого флажка приводит к тому, что клиентские компьютеры не смогут проверить удостоверение серверов во время процесса проверки подлинности. Если проверка подлинности сервера не возникает, пользователи подвергаются серьезным рискам безопасности, включая возможность того, что пользователи могут неназнательно подключаться к изгоев сети.
    Подключение к этим серверам EAP-TLS:
    ServerValidation>Имя сервера

    PEAP:
    ServerValidation>Имя сервера

    EAP-TTLS:
    ServerValidation>
    ServerNames

    TEAP:
    ServerValidation>
    ServerNames
    		 Позволяет указать имя серверов службы пользователей удаленной проверки подлинности (RADIUS), которые обеспечивают проверку подлинности сети и авторизацию.

    Необходимо ввести имя точно так же , как оно отображается в поле темы каждого сертификата сервера RADIUS или использовать регулярные выражения (regex), чтобы указать имя сервера.

    Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для отличия регулярного выражения с литеральной строкой необходимо использовать по крайней мере один * в указанной строке. Например, можно указать nps.*\.example\.com сервер nps1.example.com RADIUS или nps2.example.com. Кроме того, можно включить разделять ; несколько серверов.

    Если серверы RADIUS не указаны, клиент проверяет, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
    Доверенные корневые центры сертификации EAP-TLS:
    ServerValidation>TrustedRootCA

    PEAP:
    ServerValidation>TrustedRootCA

    EAP-TTLS:
    ServerValidation>
    TrustedRootCAHashes

    TEAP:
    ServerValidation>
    TrustedRootCAHashes    		 Выводит список доверенных корневых центров сертификации. Список создается из доверенных корневых ЦС, установленных на компьютере и в хранилищах сертификатов пользователя. Вы можете указать, какие доверенные корневые сертификаты ЦС используются для определения того, доверяют ли они серверам, например серверу, на котором запущен сервер политики сети (NPS) или сервер подготовки. Если доверенные корневые ЦС не выбраны, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS установленным доверенным корневым ЦС. Если выбран один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS выбранным доверенным корневым ЦС.

    Если доверенные корневые центры сертификации не выбраны, клиент проверяет, выдан ли сертификат сервера RADIUS любым доверенным корневым ЦС.

    Если у вас есть инфраструктура открытого ключа (PKI) в сети, и вы используете ЦС для выдачи сертификатов серверам RADIUS, сертификат ЦС автоматически добавляется в список доверенных корневых ЦС. Вы также можете приобрести сертификат ЦС от поставщика, отличного от Майкрософт. Некоторые доверенные корневые центры сертификации майкрософт предоставляют программное обеспечение с приобретенным сертификатом, который автоматически устанавливает приобретенный сертификат в хранилище сертификатов доверенных корневых центров сертификации. В этом случае доверенный корневой ЦС автоматически отображается в списке доверенных корневых ЦС.

    Не указывайте доверенный сертификат корневого ЦС, который еще не указан в сертификатах доверенных корневых центров сертификации клиентских компьютеров для текущего пользователя и локального компьютера. Если вы назначите сертификат, который не установлен на клиентских компьютерах, проверка подлинности не удается.

    В XML это отпечаток SHA-1 (хэш) сертификата (или SHA-256 для TEAP).

    Запрос пользователя проверки сервера

    В следующей таблице описываются опции запроса пользователя на проверку сервера, доступные для каждого метода EAP. Если сертификат сервера недоверен, эти параметры определяют, следует ли:

    • Соединение сразу прерывается.
    • Пользователю предлагается вручную принять или отклонить подключение.
    Setting XML element
    Не запрашивайте у пользователя авторизацию новых серверов или доверенных центров сертификации ServerValidation>DisableUserPromptForServerValidation

    Запрещает пользователю доверять сертификату сервера, если этот сертификат настроен неправильно, не является доверенным или обоим (если он включен). Чтобы упростить взаимодействие с пользователем и запретить пользователям ошибочно доверять серверу, развернутым злоумышленником, рекомендуется установить этот флажок.

    Параметры конфигурации проверки подлинности сотовой связи

    Ниже перечислены параметры конфигурации для EAP-SIM, EPA-AKA и EPA-AKA соответственно.

    EAP-SIM определен в RFC 4186. Модуль удостоверений подписчика EAP используется для проверки подлинности и распространения ключей сеанса с помощью модуля идентификации подписчика (SIM) поколения 2-го поколения глобальной системы мобильной связи (GSM).

    Параметры EAP-SIM в пользовательском интерфейсе сопоставлены с EapSimConnectionPropertiesV1.

    Item XML element Description
    Использование надежных ключей шифров UseStrongCipherKeys Указывает, что если выбрано, профиль использует строгое шифрование.
    Не показывайте реальное удостоверение на сервере, если удостоверение псевдонима доступно DontRevealPermanentID Если этот параметр включен, клиент должен завершить проверку подлинности, если сервер запрашивает постоянное удостоверение, хотя у клиента есть псевдоним. Псевдонимные удостоверения используются для конфиденциальности удостоверений, чтобы фактическое или постоянное удостоверение пользователя не отображалось во время проверки подлинности.
    ProviderName Доступна только в XML-коде строка, указывающая имя поставщика, которое разрешено для проверки подлинности.
    Включение использования областей Область=true Предоставляет место для ввода имени области. Если это поле остается пустым с выбранным параметром "Включить использование областей ", область является производным от международного удостоверения мобильного подписчика (IMSI) с помощью области 3gpp.org, как описано в стандарте 23.003 V6.8.06.0, как описано в стандарте 3-го поколения партнерства (3GPP).
    Указание области Realm Предоставляет место для ввода имени области. Если включено включение использования областей , эта строка используется. Если это поле пусто, используется производная область.

    192-разрядный режим WPA3-Enterprise

    Режим WPA3-Enterprise 192-разрядного режима — это специальный режим для WPA3-Enterprise, который применяет определенные высокие требования безопасности к беспроводному подключению, чтобы обеспечить не менее 192 бит безопасности. Эти требования соответствуют набору алгоритмов коммерческой национальной безопасности (CNSA), CNSSP 15, который является набором криптографических алгоритмов, утвержденных для защиты секретной информации США Агентства национальной безопасности (NSA). 192-разрядный режим иногда можно называть "режимом B Suite B", который является ссылкой на спецификацию шифрования NSA Suite B, которая была заменена CNSA в 2016 году.

    Режим WPA3-Enterprise и WPA3-Enterprise 192-bit доступны начиная с Windows 10 версии 2004 (сборка 19041) и Windows Server 2022. Однако WPA3-Enterprise был выделен в качестве отдельного алгоритма проверки подлинности в Windows 11. В XML это указано в элементе authEncryption .

    В следующей таблице перечислены алгоритмы, необходимые для CNSA Suite.

    Algorithm Description Parameters
    Стандарт AES (Advanced Encryption Standard) Симметричный блочный шифр, используемый для шифрования 256-разрядный ключ (AES-256)
    Обмен ключами эллиптической кривой Диффи-Хеллман (ECDH) Асимметричный алгоритм, используемый для установления общего секрета (ключа) 384-разрядная кривая основного модуля (P-384)
    Алгоритм цифровой подписи с многоточием (ECDSA) Асимметричный алгоритм, используемый для цифровых подписей 384-разрядная кривая основного модуля (P-384)
    алгоритм SHA Функция хэша шифрования SHA-384
    Обмен ключами Diffie-Hellman (DH) Асимметричный алгоритм, используемый для установления общего секрета (ключа) 3072-разрядный модуль
    Rivest-Shamir-Adleman (RSA) Асимметричный алгоритм, используемый для цифровых подписей или создания ключей 3072-разрядный модуль

    Чтобы соответствовать требованиям CNSA, WPA3-Enterprise 192-разрядный режим требует использования EAP-TLS с этими ограниченными наборами шифров:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

      • ECDHE и ECDSA с использованием 384-разрядной основной модулы кривой P-384

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

      • ECDHE с помощью 384-разрядной основной модулы кривой P-384

      • RSA >= 3072-разрядный модуль

    Note

    P-384 также называется secp384r1 или nistp384. Другие эллиптические кривые, такие как P-521, не допускаются.

    SHA-384 находится в семействе хэш-функций SHA-2. Другие алгоритмы и варианты, такие как SHA-512 или SHA3-384, не допускаются.

    Windows поддерживает только TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 наборы шифров для wpA3-Enterprise 192-разрядного режима. Набор TLS_DHE_RSA_AES_256_GCM_SHA384 шифров не поддерживается.

    TLS 1.3 использует новые упрощенные наборы TLS, из которых совместим только TLS_AES_256_GCM_SHA384 с режимом WPA3-Enterprise 192-bit. Так как протокол TLS 1.3 требует DHE и разрешает сертификаты ECDSA или RSA, а также хэш AES-256 AEAD и SHA384, TLS_AES_256_GCM_SHA384 эквивалентны TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Тем не менее, RFC 8446 требует, чтобы приложения TLS 1.3 поддерживали P-256, которые запрещены CNSA. Поэтому 192-разрядный режим WPA3-Enterprise не может быть полностью совместим с TLS 1.3. Однако известные проблемы взаимодействия с TLS 1.3 и WPA3-Enterprise 192-bit mode отсутствуют.

    Чтобы настроить сеть для режима WPA3-Enterprise 192-разрядного режима, Windows требует, чтобы EAP-TLS использовался с сертификатом, соответствующим требованиям, описанным ранее.

    См. также

    • Last updated on