Untuk perangkat yang menjalankan Android 13 atau yang lebih tinggi, Android mendukung pendekatan autentikasi Kepercayaan pada Penggunaan Pertama (TOFU) (RFC7435), yang memungkinkan pengguna memercayai jaringan perusahaan (EAP) dengan menginstal CA {i>root<i} digunakan oleh server dan mengatur nama domainnya dalam jaringan yang tersimpan. TOFU mengizinkan perangkat untuk mendapatkan kunci publik yang tidak diautentikasi ketika pengguna pertama kali terhubung ke jaringan perusahaan dan mempertahankan kunci untuk koneksi berikutnya.
Latar belakang
Dibandingkan dengan jaringan pribadi yang hanya memerlukan {i>password<i}, jaringan perusahaan menggunakan otentikasi infrastruktur kunci publik (PKI), yang mengharuskan klien untuk melakukan pra-penginstalan sertifikat. Di Android 11 atau yang lebih rendah, pengguna dapat memilih Jangan validasi untuk sertifikat CA server di setelan jaringan. mengabaikan validasi sertifikat sisi server. Namun, untuk memperkuat keamanan dan mematuhi spesifikasi WPA R2, Android 12 memperkenalkan persyaratan bagi jaringan perusahaan agar memiliki validasi sertifikat server. Ini persyaratan tambahan menciptakan hambatan bagi pengguna karena mereka perlu menginstal CA sertifikat untuk jaringan tersebut. TOFU menyediakan cara bagi pengguna untuk terhubung ke jaringan perusahaan berbasis IKP hanya dengan menerima CA root-nya.
Perilaku fitur
Perangkat yang mendukung TOFU menampilkan perilaku berikut saat pengguna terhubung ke jaringan perusahaan yang tidak sudah terinstal kunci publik yang telah diotentikasi.
Hubungkan ke jaringan baru melalui pemilih Wi-Fi
Pilih jaringan perusahaan baru di pemilih Wi-Fi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah yang dapat dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan hubungkan untuk menolak.
Jika Anda mengetuk Yes, connect, perangkat akan otomatis mengonfigurasi parameter keamanan, menghubungkan ke jaringan, dan mengaktifkan {i>autoconnect<i} bagi jaringan.
Jika Anda mengetuk Tidak, jangan hubungkan, koneksi perangkat akan terputus dari jaringan dan menonaktifkan autoconnect untuk jaringan.
Gambar 1. Dialog untuk fitur TOFU
Hubungkan ke jaringan yang ada dengan menghubungkan otomatis
Saat terhubung ke jaringan perusahaan yang mengaktifkan {i>autoconnect<i} tetapi tidak memiliki sertifikat CA yang valid, perangkat terhubung secara otomatis, kemudian menampilkan notifikasi melekat (tidak dapat ditutup).
Ketuk notifikasi tersebut.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah yang dapat dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan hubungkan untuk menolak.
Jika Anda mengetuk Yes, connect, perangkat akan otomatis mengonfigurasi parameter keamanan, menghubungkan ke jaringan, dan mengaktifkan {i>autoconnect<i} bagi jaringan.
Jika Anda mengetuk Tidak, jangan hubungkan, koneksi perangkat akan terputus dari jaringan dan menonaktifkan {i>autoconnect<i} untuk jaringan.
Implementasi
Untuk mendukung fitur TOFU, terapkan HAL pemohon yang disediakan dalam
Proyek Open Source Android (AOSP) di
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
API publik berikut tersedia di Android 13 untuk digunakan oleh aplikasi:
WifiManager#isTrustOnFirstUseSupported(): Menunjukkan apakah perangkat mendukung TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Mengaktifkan TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Menunjukkan apakah TOFU diaktifkan.
Validasi
Untuk memvalidasi penerapan TOFU di perangkat, gunakan pengujian berikut:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest