אמון בשימוש הראשון (TOFU)

במכשירים עם Android מגרסה 13 ואילך, Android תומכת בגישת האימות בזמן השימוש הראשון (TOFU) (RFC7435), שמאפשר למשתמשים לתת אמון ברשת של ארגון (EAP) על ידי התקנת רשות אישורים ברמה הבסיסית ששימשו את השרת והגדירו את שם הדומיין שלו ברשת שמורה. TOFU מאפשר המכשיר יקבל מפתח ציבורי לא מאומת כשמשתמש מתחבר בפעם הראשונה לרשת ארגונית ולשמור את המפתח לחיבורים נוספים.

רקע

בהשוואה לרשתות אישיות שדורשות רק סיסמה, רשתות ארגוניות להשתמש באימות של תשתית מפתח ציבורי (PKI), שמחייבת את הלקוח כדי להתקין אישורים מראש. ב-Android 11 ומטה, המשתמשים יכולים לבחור האפשרות לא לאמת את אישור ה-CA של השרת בהגדרות הרשת, לעקוף את האימות של האישור בצד השרת. אבל כדי לחזק שתואם למפרט WPA R2, ב-Android 12 הוסיפו דרישה לאימות של אישור שרת על ידי רשתות ארגוניות. הזה דרישה נוספת מנעה את השימוש במשתמשים מכיוון שהם צריכים להתקין רשות אישורים אישור לרשתות כאלה. TOFU מאפשר למשתמשים להתחבר רשת ארגונית מבוססת PKI פשוט על ידי אישור ה-CA ברמה הבסיסית.

התנהגות התכונה

מכשירים שתומכים ב-TOFU מציגים את ההתנהגות הבאה כאשר משתמש מתחבר לרשת ארגונית שלא מותקנת בה מפתח ציבורי מאומת.

התחברות לרשת חדשה באמצעות בוחר Wi-Fi

  1. אפשר לבחור רשת ארגונית חדשה בבורר ה-Wi-Fi.

    במכשיר תוצג תיבת דו-שיח (איור 1) כדי לאשר כמהימנים.

  2. מקישים על כן, אני רוצה להתחבר כדי לאשר את החיבור לרשת או על לא, אני לא רוצה להתחבר לרשת. צריך להתחבר כדי לדחות.

    • אם תקישו על כן, אני רוצה להתחבר, המכשיר יגדיר את של אבטחה, התחברות לרשת ואפשרות חיבור אוטומטי לרשת.

    • אם תקישו על לא, אני לא רוצה להתחבר, המכשיר יתנתק והחיבור האוטומטי של הרשת מושבת.

    תיבת דו-שיח לתכונת TOFU

    איור 1. תיבת דו-שיח לתכונת TOFU

התחברות לרשת קיימת עם Autoconnect מופעל

כשמתחברים לרשת ארגונית שמופעל בה חיבור אוטומטי, אבל אין אישור CA תקף, המכשיר מתחבר באופן אוטומטי ואז מציגה התראה במיקום קבוע (שלא ניתן לסגור).

  1. מקישים על ההתראה.

    במכשיר תוצג תיבת דו-שיח (איור 1) כדי לאשר כמהימנים.

  2. מקישים על כן, אני רוצה להתחבר כדי לאשר את החיבור לרשת או על לא, אני לא רוצה להתחבר לרשת. צריך להתחבר כדי לדחות.

    • אם תקישו על כן, אני רוצה להתחבר, המכשיר יגדיר את של אבטחה, התחברות לרשת ואפשרות חיבור אוטומטי לרשת.

    • אם תקישו על לא, אני לא רוצה להתחבר, המכשיר יתנתק והחיבור האוטומטי של הרשת מושבת.

הטמעה

כדי לתמוך בתכונת TOFU, יש להטמיע את ה-HALs שסופקו ב פרויקט קוד פתוח של Android (AOSP) ב- /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant

ממשקי ה-API הציבוריים הבאים זמינים ב-Android 13 לשימוש על ידי אפליקציות:

אימות

כדי לאמת את ההטמעה של TOFU במכשיר שלכם, מבצעים את הבדיקות הבאות:

  • CTS: CtsWifiTestCases
  • VTS: VtsHalWifiSupplicantStaNetworkTargetTest