Halaman ini diterjemahkan oleh Cloud Translation API.

Percaya pada Penggunaan Pertama (TOFU)

Untuk perangkat yang menjalankan Android 13 atau lebih tinggi, Android mendukung pendekatan autentikasi Trust on First Use (TOFU) ( RFC7435 ), yang memungkinkan pengguna memercayai jaringan perusahaan (EAP) dengan menginstal root CA yang digunakan oleh server dan menyetel nama domainnya di jaringan yang disimpan. TOFU memungkinkan perangkat memperoleh kunci publik yang tidak diautentikasi saat pengguna pertama kali terhubung ke jaringan perusahaan dan mempertahankan kunci untuk koneksi selanjutnya.

Latar belakang

Dibandingkan dengan jaringan pribadi yang hanya memerlukan kata sandi, jaringan perusahaan menggunakan autentikasi infrastruktur kunci publik (PKI), yang mengharuskan klien untuk menginstal sertifikat terlebih dahulu. Di Android 11 atau lebih rendah, pengguna dapat memilih opsi Jangan validasi untuk sertifikat CA server di setelan jaringan, melewati validasi sertifikat sisi server. Namun, untuk memperkuat keamanan dan mematuhi spesifikasi WPA R2, Android 12 memperkenalkan persyaratan agar jaringan perusahaan memiliki validasi sertifikat server. Persyaratan tambahan ini menciptakan penghalang bagi pengguna karena mereka perlu memasang sertifikat CA untuk jaringan tersebut. TOFU menyediakan cara bagi pengguna untuk terhubung ke jaringan perusahaan berbasis PKI hanya dengan menerima root CA-nya.

Perilaku fitur

Perangkat yang mendukung TOFU menampilkan perilaku berikut saat pengguna tersambung ke jaringan perusahaan yang tidak memiliki kunci publik terautentikasi yang telah dipasang .

Sambungkan ke jaringan baru melalui pemilih Wi-Fi

Pilih jaringan perusahaan baru di pemilih Wi-Fi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan sambungkan untuk menolak.
- Jika Anda mengetuk Ya, sambungkan , perangkat akan menyimpan sertifikat CA akar dan nama domain, menyambung ke jaringan, dan mengaktifkan sambungan otomatis untuk jaringan.
- Jika Anda mengetuk Batal , perangkat akan terputus dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan.
Gambar 1. Dialog untuk fitur TOFU

Terhubung ke jaringan yang ada dengan koneksi otomatis diaktifkan

Saat menyambungkan ke jaringan perusahaan yang telah mengaktifkan sambungan otomatis tetapi tidak memiliki sertifikat CA yang valid, perangkat tersambung secara otomatis, lalu menampilkan pemberitahuan lengket (tidak dapat ditutup).

Ketuk notifikasi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan sambungkan untuk menolak.
- Jika Anda mengetuk Ya, sambungkan , perangkat akan menyimpan sertifikat CA akar dan nama domain, menyambung ke jaringan, dan mengaktifkan sambungan otomatis untuk jaringan.
- Jika Anda mengetuk Batal , perangkat akan terputus dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan.

Penerapan

Untuk mendukung fitur TOFU, implementasikan HAL pemohon yang disediakan dalam Android Open Source Project (AOSP) di /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .

API publik berikut tersedia di Android 13 untuk digunakan oleh aplikasi:

WifiManager#isTrustOnFirstUseSupported() : Menunjukkan apakah perangkat mendukung TOFU.
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : Mengaktifkan TOFU.
WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : Menunjukkan apakah TOFU diaktifkan.

Validasi

Untuk memvalidasi penerapan TOFU di perangkat Anda, gunakan pengujian berikut:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest