Para dispositivos que ejecutan Android 13 o superior, Android admite el enfoque de autenticación Trust on First Use (TOFU) ( RFC7435 ), que permite a los usuarios confiar en una red empresarial (EAP) al instalar la CA raíz utilizada por el servidor y configurar su nombre de dominio en un red guardada. TOFU permite que el dispositivo obtenga una clave pública no autenticada cuando un usuario se conecta por primera vez a una red empresarial y conserva la clave para conexiones posteriores.
Fondo
En comparación con las redes personales que solo requieren una contraseña, las redes empresariales usan autenticación de infraestructura de clave pública (PKI), que requiere que el cliente preinstale certificados. En Android 11 o anterior, los usuarios pueden seleccionar la opción No validar para el certificado de CA del servidor en la configuración de red, omitiendo la validación del certificado del lado del servidor. Sin embargo, para fortalecer la seguridad y cumplir con la especificación WPA R2, Android 12 introdujo un requisito para que las redes empresariales tengan validación de certificado de servidor. Este requisito adicional creó una barrera para los usuarios, ya que necesitan instalar un certificado de CA para dichas redes. TOFU proporciona una forma para que los usuarios se conecten a una red empresarial basada en PKI simplemente aceptando su CA raíz.
Comportamiento de la función
Los dispositivos que admiten TOFU muestran el siguiente comportamiento cuando un usuario se conecta a una red empresarial que no tiene una clave pública autenticada ya instalada .
Conéctese a la nueva red a través del selector de Wi-Fi
Seleccione una nueva red empresarial en el selector de Wi-Fi.
El dispositivo muestra un cuadro de diálogo (Figura 1) para confirmar si la red es confiable.
Toque Sí, conectar para aceptar la conexión de red o toque No, no conectar para rechazar.
Si toca Sí, conectar , el dispositivo configura automáticamente los parámetros de seguridad, se conecta a la red y habilita la conexión automática para la red.
Si toca No, no conectar , el dispositivo se desconecta de la red y desactiva la conexión automática para la red.
Figura 1. Diálogo para la función TOFU
Conéctese a la red existente con la conexión automática habilitada
Cuando se conecta a una red empresarial que tiene la conexión automática habilitada pero no tiene un certificado de CA válido, el dispositivo se conecta automáticamente y luego muestra una notificación fija (no descartable).
Toca la notificación.
El dispositivo muestra un cuadro de diálogo (Figura 1) para confirmar si la red es confiable.
Toque Sí, conectar para aceptar la conexión de red o toque No, no conectar para rechazar.
Si toca Sí, conectar , el dispositivo configura automáticamente los parámetros de seguridad, se conecta a la red y habilita la conexión automática para la red.
Si toca No, no conectar , el dispositivo se desconecta de la red y desactiva la conexión automática para la red.
Implementación
Para admitir la función TOFU, implemente las HAL suplicantes proporcionadas en el Proyecto de código abierto de Android (AOSP) en /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .
Las siguientes API públicas están disponibles en Android 13 para que las usen las aplicaciones:
-
WifiManager#isTrustOnFirstUseSupported(): indica si el dispositivo es compatible con TOFU. -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Habilita TOFU. -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): indica si TOFU está habilitado.
Validación
Para validar la implementación de TOFU en su dispositivo, utilice las siguientes pruebas:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest