Протокол расширенной проверки подлинности (EAP) для доступа к сети

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1

Расширяемый протокол проверки подлинности (EAP) — это платформа проверки подлинности, которая позволяет использовать различные методы проверки подлинности для безопасных технологий сетевого доступа. Примеры этих технологий включают беспроводной доступ с помощью IEEE 802.1X, проводного доступа с помощью IEEE 802.1X и подключения типа "точка — точка" (PPP), таких как виртуальная частная сеть (VPN). EAP не является определенным методом проверки подлинности, таким как MS-CHAP версии 2, а платформой, которая позволяет поставщикам сети разрабатывать и устанавливать новые методы проверки подлинности, известные как методы EAP, на клиенте доступа и сервере проверки подлинности. Платформа EAP изначально определена RFC 3748 и расширена различными другими rfcs и стандартами.

методы проверки подлинности;

Методы проверки подлинности EAP, используемые в туннелированных методах EAP, обычно называются внутренними методами или типами EAP. Методы, настроенные как внутренние методы , имеют те же параметры конфигурации, что и при использовании в качестве внешнего метода. В этой статье содержатся сведения о конфигурации, относящиеся к следующим методам проверки подлинности в EAP.

EAP-Transport Layer Security (EAP-TLS): стандартный метод EAP, использующий TLS с сертификатами для взаимной проверки подлинности. Отображается как смарт-карта или другой сертификат (EAP-TLS) в Windows. EAP-TLS можно развернуть как внутренний метод для другого метода EAP или как автономный метод EAP.

Совет

Методы EAP, использующие EAP-TLS, основанные на сертификатах, обычно предлагают самый высокий уровень безопасности. Например, EAP-TLS является единственным разрешенным методом EAP для режима WPA3-Enterprise 192-bit.

Протокол проверки подлинности EAP-Microsoft Challenge Handshake Protocol версии 2 (EAP-MSCHAP версии 2): определенный корпорацией Майкрософт метод EAP, инкапсулирующий протокол проверки подлинности MSCHAP версии 2, который использует имя пользователя и пароль для проверки подлинности. Отображается как безопасный пароль (EAP-MSCHAP версии 2) в Windows. EAP-MSCHAPv2 можно использовать в качестве автономного метода для VPN, но только в качестве внутреннего метода для проводной или беспроводной связи.

Предупреждение

Подключения на основе MSCHAPv2 подвергаются аналогичным атакам, как для NTLMv1. Windows 11 Корпоративная, версия 22H2 (сборка 22621) включает Credential Guard в Защитнике Windows, который может вызвать проблемы с подключениями на основе MSCHAPv2.

Защищенный EAP (PEAP): определенный корпорацией Майкрософт метод EAP, инкапсулирующий EAP в туннеле TLS. Туннель TLS защищает внутренний метод EAP, который может быть незащищен в противном случае. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.

EAP-Tunneled Transport Layer Security (EAP-TTLS): описано RFC 5281, инкапсулирует сеанс TLS, который выполняет взаимную проверку подлинности с помощью другого внутреннего механизма проверки подлинности. Этот внутренний метод может быть протоколом EAP, например EAP-MSCHAP версии 2, или протоколом, отличным от EAP, например протоколом проверки подлинности паролей (PAP). В Windows Server 2012 включение EAP-TTLS обеспечивает поддержку только на стороне клиента (в Windows 8). В настоящее время NPS не поддерживает EAP-TTLS. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими EAP-TTLS.

Модуль удостоверений подписчика EAP (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) и EAP-AKA Prime (EAP-AKA): описано различными RFCS, обеспечивает проверку подлинности с помощью SIM-карта и реализуется при покупке клиентом плана беспроводной широкополосной связи с оператором мобильной сети. В рамках плана клиент обычно получает беспроводной профиль, предварительно настроенный для проверки подлинности SIM.

Туннель EAP (TEAP): описано RFC 7170, туннельный метод EAP, который устанавливает безопасный туннель TLS и выполняет другие методы EAP внутри этого туннеля. Поддерживает цепочку EAP — проверку подлинности компьютера и пользователя в одном сеансе проверки подлинности. В Windows Server 2022 включение TEAP обеспечивает поддержку только на стороне клиента — Windows 10 версии 2004 (сборка 19041). В настоящее время NPS не поддерживает TEAP. Поддержка клиентов позволяет взаимодействовать с часто развернутыми серверами RADIUS, поддерживающими TEAP. Windows поддерживает EAP-TLS и EAP-MSCHAP версии 2 как внутренние методы.

В следующей таблице перечислены некоторые распространенные методы EAP и номера назначенных методов IANA.

Метод EAP Номер назначенного типа IANA Поддержка Собственных windows
MD5-Challenge (EAP-MD5) 4
Одноразовый пароль (EAP-OTP) 5
Универсальная карточка маркера (EAP-GTC) 6
Протокол EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP версии 2 26
Защищенный одноразовый пароль (EAP-POTP) 32
EAP-FAST 43
Общий ключ (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
ГТОЭО 55
EAP-NOOB 56

Настройка свойств EAP

Вы можете получить доступ к свойствам EAP для проводного и беспроводного доступа 802.1X следующим образом:

  • Настройка политик проводной сети (IEEE 802.3) и расширений политик беспроводной сети (IEEE 802.11) в групповой политике.
    • Политики>конфигурации>компьютера Windows Параметры Security Параметры>
  • Использование программного обеспечения для мобильных Управление устройствами (MDM), таких как Intune (Wi-Fi/Wired)
  • Настройка проводных или беспроводных подключений на клиентских компьютерах вручную.

Свойства EAP для подключений виртуальной частной сети (VPN) можно получить следующим образом:

  • Использование программного обеспечения для мобильных Управление устройствами (MDM), например Intune
  • Настройка VPN-подключений вручную на клиентских компьютерах.
  • Использование пакета диспетчер подключений Администратор istration Kit (CMAK) для настройки VPN-подключений.

Дополнительные сведения о настройке свойств EAP см. в разделе "Настройка профилей и параметров EAP" в Windows.

Профили XML для EAP

Профили, используемые для различных типов подключений, — это XML-файлы, содержащие параметры конфигурации для этого подключения. Каждый другой тип подключения следует определенной схеме:

Однако при настройке использования EAP каждая схема профиля имеет дочерний элемент EapHostConfig .

Этот синтаксис конфигурации определен в групповой политике : спецификация расширения беспроводного или проводного протокола.

Примечание.

Различные графические интерфейсы конфигурации не всегда отображают все технически возможные варианты. Например, Windows Server 2019 и более ранних версий не могут настроить TEAP в пользовательском интерфейсе. Однако часто можно импортировать существующий XML-профиль, который ранее был настроен.

Оставшаяся часть статьи предназначена для сопоставления определенных частей пользовательского интерфейса групповой политики/панель управления и параметров конфигурации XML, а также описания параметра.

Дополнительные сведения о настройке профилей XML можно найти в XML-профилях. Пример использования XML-профиля, содержащего параметры EAP, можно найти в разделе "Подготовка профиля Wi-Fi" через веб-сайт.

Параметры безопасности

В следующей таблице описаны настраиваемые параметры безопасности для профиля, использующего 802.1X. Эти параметры сопоставляют с OneX.

Параметр XML-элемент Description
Выберите метод проверки подлинности сети: EAPConfig Позволяет выбрать метод EAP, используемый для проверки подлинности. Просмотр параметров конфигурации метода проверки подлинности и параметров конфигурации сотовой проверки подлинности
Свойства Открывает диалоговое окно свойств выбранного метода EAP.
Режим проверки подлинности authMode Указывает тип учетных данных, используемых для проверки подлинности. Поддерживаются следующие значения:

1. Проверка подлинности пользователя или компьютера
2. Проверка подлинности компьютера
3. Проверка подлинности пользователей
4. Проверка подлинности гостя

"Компьютер", в этом контексте, означает "Компьютер" в других ссылках. machineOrUser — значение по умолчанию в Windows.
Макс. число ошибок проверки подлинности maxAuthFailures Указывает максимальное количество сбоев проверки подлинности, разрешенных для набора учетных данных, по умолчанию 1.
Кэширование сведений о пользователе для последующих подключений к этой сети cacheUserData Указывает, следует ли кэшировать учетные данные пользователя для последующих подключений к той же сети, по trueумолчанию .

Дополнительные параметры > безопасности IEEE 802.1X

Если проверка применены расширенные параметры 802.1X, все перечисленные ниже параметры будут настроены. Если это не проверка, применяются параметры по умолчанию. В XML все элементы являются необязательными, при этом значения по умолчанию используются, если они отсутствуют.

Параметр XML-элемент Description
Max Eapol-Start Msgs maxStart Указывает максимальное количество сообщений EAPOL-Start, которые можно отправить на сервер authenticator (RADIUS), прежде чем запрашивающий (клиент Windows) предполагает, что отсутствует средство проверки подлинности, используемое 3по умолчанию.
Период начала (секунды) startPeriod Указывает период времени (в секундах), до того как сообщение EAPOL-Start будет отправлено для запуска процесса проверки подлинности 802.1X, по 5умолчанию .
Период хранения (секунды) heldPeriod Указывает период времени (в секундах) для ожидания после неудачной попытки проверки подлинности повторной проверки подлинности, используемой 1по умолчанию.
Период проверки подлинности (секунды) authPeriod Указывает период времени (в секундах) для ожидания ответа от сервера проверки подлинности (RADIUS-сервера), прежде чем предположить, что отсутствует средство проверки подлинности, по 18умолчанию .
Сообщение "Eapol-Start" supplicantMode Задает метод передачи, используемый для сообщений EAPOL-Start. Поддерживаются следующие значения:

1. Не передавать (inhibitTransmission)
2. Передача (includeLearning)
3. Передача на IEEE 802.1X (compliant)

"Компьютер", в этом контексте, означает "Компьютер" в других ссылках. compliant значение по умолчанию в Windows и является единственным допустимым вариантом для беспроводных профилей.

Дополнительные параметры > безопасности Единый вход

В следующей таблице описываются параметры Единый вход (единый вход), ранее известный как поставщик доступа для входа в систему (PLAP).

Параметр XML-элемент Description
Включение Единый вход для этой сети singleSignOn Указывает, включен ли единый вход для этой сети по умолчанию false. Не используйте singleSignOn в профиле, если сеть не требует его.
Выполнение непосредственно перед пользователем

Выполнение сразу после пользователя		 type Указывает, когда должен выполняться единый вход — либо до, либо после входа пользователя.
Максимальная задержка для подключения (секунды) maxDelay Указывает максимальную задержку (в секундах), прежде чем попытка единого входа завершается сбоем, по умолчанию 10.
Разрешить отображение дополнительных диалогов во время Единый вход allowAdditionalDialogs Указывает, следует ли разрешать отображение диалоговых окон EAP во время единого входа по умолчанию false.
Эта сеть использует другую виртуальную локальную сеть для проверки подлинности с помощью учетных данных компьютера и пользователя userBasedVirtualLan Указывает, изменяется ли виртуальная локальная сеть (VLAN), используемая устройством на основе учетных данных пользователя, по умолчанию false.

Параметры конфигурации метода проверки подлинности

Внимание

Если сервер сетевого доступа настроен для того же типа метода проверки подлинности для туннелированного метода EAP (например, PEAP) и не туннелированного метода EAP (например, EAP-MSCHAP версии 2), существует потенциальная уязвимость безопасности. При развертывании туннелированного метода EAP и EAP (который не защищен), не используйте один и тот же тип проверки подлинности. Например, при развертывании PEAP-TLS не развертывайте протокол EAP-TLS. Это связано с тем, что если требуется защита туннеля, она не служит ни для каких целей, чтобы разрешить выполнение метода за пределами туннеля.

В следующей таблице описываются настраиваемые параметры для каждого метода проверки подлинности.

Параметры EAP-TLS в сопоставлении пользовательского интерфейса с EapTls Подключение ionPropertiesV1, которые расширены EapTls Подключение ionPropertiesV2 и EapTls Подключение ionPropertiesV3.

Параметр XML-элемент Description
Использование моего интеллектуального карта SmartCard CredentialsSource> Указывает, что клиенты, выполняющие запросы проверки подлинности, должны представлять смарт-карта сертификат для сетевой проверки подлинности.
Использование сертификата на этом компьютере CredentialsSource>CertificateStore Указывает, что проверка подлинности клиентов должна использовать сертификат, расположенный в хранилищах сертификатов текущего пользователя или локального компьютера.
Использование простого выбора сертификата (рекомендуется) SimpleCertSelection Указывает, будет ли Windows автоматически выбирать сертификат для проверки подлинности без взаимодействия с пользователем (если это возможно) или если Windows отобразит раскрывающийся список для пользователя, чтобы выбрать сертификат.
Расширенные Открывает диалоговое окно "Настройка выбора сертификата".
Параметры проверки сервера
Использование другого имени пользователя для подключения DifferentUsername Указывает, следует ли использовать имя пользователя для проверки подлинности, отличное от имени пользователя в сертификате.

Ниже перечислены параметры конфигурации для настройки выбора сертификата. Эти параметры определяют критерии, которые клиент использует для выбора соответствующего сертификата для проверки подлинности. Этот пользовательский интерфейс сопоставляется с TLSExtensions>FilteringInfo.

Параметр XML-элемент Description
Издатель сертификата CAHashListEnabled="true" Указывает, включена ли фильтрация издателя сертификатов.

Если включены поставщик сертификатов и расширенное использование ключей (EKU), то для проверки подлинности клиента на сервере считаются только те сертификаты, которые соответствуют обоим условиям.
Корневые центры сертификации IssuerHash Перечисляет имена всех издателей, для которых соответствующие сертификаты центра сертификации (ЦС) присутствуют в доверенных корневых центрах сертификации или хранилище сертификатов промежуточных центров сертификации учетной записи локального компьютера. В том числе:

1. Все корневые центры сертификации и промежуточные центры сертификации.
2. Содержит только те издатели, для которых есть соответствующие действительные сертификаты, которые присутствуют на компьютере (например, сертификаты, которые не истекли или не отозваны).
3. Окончательный список сертификатов, разрешенных для проверки подлинности, содержит только те сертификаты, которые были выданы любым из издателей, выбранных в этом списке.

В XML это отпечаток SHA-1 (хэш) сертификата.
Расширенное использование ключей (EKU) Позволяет выбрать все назначения, проверку подлинности клиента, AnyPurpose или любую комбинацию этих значений. Указывает, что при выборе сочетания все сертификаты, удовлетворяющие по крайней мере одному из трех условий, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Если фильтрация EKU включена, необходимо выбрать один из вариантов выбора, в противном случае проверка box расширенного использования ключей (EKU) будет снято проверка.
Все назначение AllPurposeEnabled При выборе этот элемент указывает, что сертификаты, имеющие EKU "Все назначения ", считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для всех целей имеет 0 или пуст.
Аутентификация клиента ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Указывает, что сертификаты, имеющие EKU проверки подлинности клиента, и указанный список EKUs считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для проверки подлинности1.3.6.1.5.5.7.3.2клиента.
AnyPurpose AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Указывает, что все сертификаты, имеющие EKU AnyPurpose и указанный список EKUs, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Идентификатор объекта (OID) для AnyPurpose.1.3.6.1.4.1.311.10.12.1
Прибавить EKUMapping > EKUMap > EKUName/EKUOID Открывает диалоговое окно "Выбор EKUs" , которое позволяет добавлять стандартные, пользовательские или пользовательские EKUs, относящиеся к поставщику, в список проверки подлинности клиента или AnyPurpose .

При нажатии кнопки "Добавить или изменить" в диалоговом окне "Выбор EKUs" откроется диалоговое окно "Добавить и изменить EKU", которое предоставляет два варианта:
1. Введите имя EKU . Предоставляет место для ввода имени пользовательского EKU.
2. Введите идентификатор EKU . Предоставляет место для ввода идентификатора OID для EKU. Разрешены только числовые цифры, разделители и . разрешены. Разрешены дикие карта, в этом случае разрешены все дочерние OID в иерархии.

Например, ввод 1.3.6.1.4.1.311.* позволяет 1.3.6.1.4.1.311.42 и 1.3.6.1.4.1.311.42.2.1.
Изменить Позволяет редактировать пользовательские EKUs, которые вы добавили. По умолчанию предопределенные EKUs не могут быть изменены.
Удалить Удаляет выбранный EKU из списка проверки подлинности клиента или AnyPurpose .

Серверная проверка

Многие методы EAP включают параметр для клиента для проверки сертификата сервера. Если сертификат сервера не проверен, клиент не может убедиться, что он взаимодействует с правильным сервером. Это предоставляет клиенту риски безопасности, включая возможность того, что клиент может неназнательно подключиться к изгоев сети.

Примечание.

Для Windows требуется сертификат сервера с EKU проверки подлинности сервера. Идентификатор объекта (OID) для этого EKU 1.3.6.1.5.5.7.3.1.

В следующей таблице перечислены параметры проверки сервера, применимые к каждому методу EAP. Windows 11 обновила логику проверки сервера, чтобы быть более согласованной (см. статью "Обновлено поведение проверки сертификата сервера" в Windows 11). Если они конфликтуют, описания в следующей таблице описывают поведение Windows 10 и более ранних версий.

Параметр XML-элемент Description
Проверка удостоверения сервера путем проверки сертификата EAP-TLS:
ВыполнениеServerValidation

PEAP:
ВыполнениеServerValidation		 Этот элемент указывает, что клиент проверяет, что сертификаты сервера, представленные клиентскому компьютеру, имеют правильные подписи, не истекли и были выданы доверенным корневым центром сертификации (ЦС).

Отключение этого поля проверка приводит к тому, что клиентские компьютеры не смогут проверить удостоверение серверов во время проверки подлинности. Если проверка подлинности сервера не возникает, пользователи подвергаются серьезным рискам безопасности, включая возможность того, что пользователи могут неназнательно подключаться к изгоев сети.
Подключение на эти серверы EAP-TLS:
ServerValidation>ServerNames

PEAP:
ServerValidation>ServerNames

EAP-TTLS:
ServerValidation>
Имя сервера

ГТОЭО:
ServerValidation>
Имя сервера
 Позволяет указать имя серверов службы пользователей удаленной проверки подлинности (RADIUS), которые обеспечивают проверку подлинности сети и авторизацию.

Необходимо ввести имя точно так же , как оно отображается в поле темы каждого сертификата сервера RADIUS или использовать регулярные выражения (regex), чтобы указать имя сервера.

Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для отличия регулярного выражения с литеральной строкой необходимо использовать по крайней мере один * в указанной строке. Например, можно указать nps.*\.example\.com сервер nps1.example.com RADIUS или nps2.example.com.

Кроме того, можно включить разделять ; несколько серверов.

Если серверы RADIUS не указаны, клиент проверяет, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Доверенные корневые центры сертификации EAP-TLS:
ServerValidation>TrustedRootCA

PEAP:
ServerValidation>TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

ГТОЭО:
ServerValidation>
TrustedRootCAHashes		 Выводит список доверенных корневых центров сертификации. Список создается из доверенных корневых ЦС, установленных на компьютере и в хранилищах сертификатов пользователя. Вы можете указать, какие доверенные корневые сертификаты ЦС используются для определения того, доверяют ли они серверам, например серверу, на котором запущен сервер политики сети (NPS) или сервер подготовки. Если доверенные корневые ЦС не выбраны, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS установленным доверенным корневым ЦС. Если выбран один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера сервера RADIUS выбранным доверенным корневым ЦС.

Если доверенные корневые центры сертификации не выбраны, клиент проверяет, выдан ли сертификат сервера RADIUS любым доверенным корневым ЦС.

Если у вас есть инфраструктура открытого ключа (PKI) в сети, и вы используете ЦС для выдачи сертификатов серверам RADIUS, сертификат ЦС автоматически добавляется в список доверенных корневых ЦС. Вы также можете приобрести сертификат ЦС от поставщика, отличного от Майкрософт. Некоторые доверенные корневые центры сертификации майкрософт предоставляют программное обеспечение с приобретенным сертификатом, который автоматически устанавливает приобретенный сертификат в хранилище сертификатов доверенных корневых центров сертификации. В этом случае доверенный корневой ЦС автоматически отображается в списке доверенных корневых ЦС.

Не указывайте доверенный сертификат корневого ЦС, который еще не указан в сертификатах доверенных корневых центров сертификации клиентских компьютеров для текущего пользователя и локального компьютера. Если вы назначите сертификат, который не установлен на клиентских компьютерах, проверка подлинности завершится ошибкой.

В XML это отпечаток SHA-1 (хэш) сертификата (или SHA-256 для TEAP).

Запрос пользователя проверки сервера

В следующей таблице перечислены параметры запроса пользователя проверки сервера, применимые к каждому методу EAP. Эти параметры будут использоваться в случае ненадежного сертификата сервера.

  • немедленно завершить подключение или
  • разрешить пользователю вручную принять или отклонить подключение.
Параметр XML-элемент
Не запрашивайте у пользователя авторизацию новых серверов или доверенных центров сертификации ServerValidation DisableUserPromptForServerValidation>

Запрещает пользователю доверять сертификату сервера, если этот сертификат настроен неправильно, не является доверенным или обоим (если он включен). Чтобы упростить взаимодействие с пользователем и запретить пользователям ошибочно доверять серверу, развернутым злоумышленником, рекомендуется выбрать этот проверка box.

Параметры конфигурации проверки подлинности сотовой связи

Ниже перечислены параметры конфигурации для EAP-SIM, EPA-AKA и EPA-AKA соответственно.

EAP-SIM определен в RFC 4186. Модуль удостоверений подписчика EAP используется для проверки подлинности и распространения ключей сеанса с помощью модуля идентификации подписчика (SIM) поколения 2-го поколения глобальной системы мобильной связи (GSM).

Параметры EAP-SIM в пользовательском интерфейсе сопоставлены с EapSim Подключение ionPropertiesV1.

Товар XML-элемент Description
Использование надежных ключей шифров UseStrongCipherKeys Указывает, что если выбрано, профиль использует строгое шифрование.
Не показывайте реальное удостоверение на сервере, если удостоверение псевдонима доступно DontRevealPermanentID Если этот параметр включен, клиент должен завершить проверку подлинности, если сервер запрашивает постоянное удостоверение, хотя у клиента есть псевдоним. Псевдонимные удостоверения используются для конфиденциальности удостоверений, чтобы фактическое или постоянное удостоверение пользователя не отображалось во время проверки подлинности.
ProviderName Доступна только в XML-коде строка, указывающая имя поставщика, которое разрешено для проверки подлинности.
Включение использования областей Realm=true Предоставляет место для ввода имени области. Если это поле остается пустым с выбранным параметром "Включить использование областей ", область является производным от международного удостоверения мобильного подписчика (IMSI) с помощью области 3gpp.org, как описано в стандарте 23.003 V6.8.06.0, как описано в стандарте 3-го поколения партнерства (3GPP).
Указание области Realm Предоставляет место для ввода имени области. Если включено включение использования областей , эта строка используется. Если это поле пусто, используется производная область.

192-разрядный режим WPA3-Enterprise

Режим WPA3-Enterprise 192-разрядного режима — это специальный режим для WPA3-Enterprise, который применяет определенные высокие требования безопасности к беспроводному подключению, чтобы обеспечить не менее 192 бит безопасности. Эти требования соответствуют набору алгоритмов коммерческой национальной безопасности (CNSA), CNSSP 15, который является набором криптографических алгоритмов, утвержденных для защиты секретной информации США Агентства национальной безопасности (NSA). 192-разрядный режим иногда можно называть "режимом B Suite B", который является ссылкой на спецификацию шифрования NSA Suite B, которая была заменена CNSA в 2016 году.

Режим WPA3-Enterprise и WPA3-Enterprise 192-bit доступны начиная с Windows 10 версии 2004 (сборка 19041) и Windows Server 2022. Однако WPA3-Enterprise был выделен в качестве отдельного алгоритма проверки подлинности в Windows 11. В XML это указано в элементе authEncryption .

В следующей таблице перечислены алгоритмы, необходимые для CNSA Suite.

Алгоритм Description Параметры
Стандарт AES (Advanced Encryption Standard) Симметричный блочный шифр, используемый для шифрования 256-разрядный ключ (AES-256)
Обмен ключами эллиптической кривой Диффи-Хеллман (ECDH) Асимметричный алгоритм, используемый для установления общего секрета (ключа) 384-разрядная кривая основного модуля (P-384)
Алгоритм цифровой подписи с многоточием (ECDSA) Асимметричный алгоритм, используемый для цифровых подписей 384-разрядная кривая основного модуля (P-384)
алгоритм SHA Функция хэша шифрования SHA-384
Обмен ключами Diffie-Hellman (DH) Асимметричный алгоритм, используемый для установления общего секрета (ключа) 3072-разрядный модуль
Ривст-Шамир-Адлеман (RSA) Асимметричный алгоритм, используемый для цифровых подписей или создания ключей 3072-разрядный модуль

В соответствии с CNSA, wpA3-Enterprise 192-разрядного режима требуется, чтобы EAP-TLS использовался со следующими наборами шифров с ограничениями:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE и ECDSA с использованием 384-разрядной основной модулы кривой P-384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE с помощью 384-разрядной основной модулы кривой P-384
    • RSA >= 3072-разрядный модуль

Примечание.

P-384 также называется secp384r1 или nistp384. Другие эллиптические кривые, такие как P-521, не допускаются.

SHA-384 находится в семействе хэш-функций SHA-2. Другие алгоритмы и варианты, такие как SHA-512 или SHA3-384, не допускаются.

Windows поддерживает только TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 наборы шифров для wpA3-Enterprise 192-разрядного режима. Набор TLS_DHE_RSA_AES_256_GCM_SHA384 шифров не поддерживается.

TLS 1.3 использует новые упрощенные наборы TLS, из которых совместим только TLS_AES_256_GCM_SHA384 с режимом WPA3-Enterprise 192-bit. Так как протокол TLS 1.3 требует DHE и разрешает сертификаты ECDSA или RSA, а также хэш AES-256 AEAD и SHA384, TLS_AES_256_GCM_SHA384 эквивалентны TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Тем не менее, RFC 8446 требует, чтобы приложения TLS 1.3 поддерживали P-256, которые запрещены CNSA. Поэтому 192-разрядный режим WPA3-Enterprise не может быть полностью совместим с TLS 1.3. Однако известные проблемы взаимодействия с TLS 1.3 и WPA3-Enterprise 192-bit mode отсутствуют.

Чтобы настроить сеть для режима WPA3-Enterprise 192-разрядного режима, Windows требует, чтобы EAP-TLS использовался с сертификатом, соответствующим требованиям, описанным ранее.

Дополнительные ресурсы