एंड्रॉइड 13 या उच्चतर चलाने वाले उपकरणों के लिए, एंड्रॉइड ट्रस्ट ऑन फ़र्स्ट यूज़ (TOFU) प्रमाणीकरण दृष्टिकोण ( RFC7435 ) का समर्थन करता है, जो उपयोगकर्ताओं को सर्वर द्वारा उपयोग किए जाने वाले रूट CA को स्थापित करके और इसके डोमेन नाम को एक में सेट करके एक उद्यम (EAP) नेटवर्क पर भरोसा करने देता है। सहेजा गया नेटवर्क। TOFU डिवाइस को एक अनधिकृत सार्वजनिक कुंजी प्राप्त करने की अनुमति देता है जब उपयोगकर्ता पहली बार किसी एंटरप्राइज़ नेटवर्क से जुड़ता है और बाद के कनेक्शनों के लिए कुंजी को बनाए रखता है।
पृष्ठभूमि
व्यक्तिगत नेटवर्क की तुलना में जिन्हें केवल एक पासवर्ड की आवश्यकता होती है, एंटरप्राइज़ नेटवर्क सार्वजनिक कुंजी अवसंरचना (PKI) प्रमाणीकरण का उपयोग करते हैं, जिसके लिए क्लाइंट को प्रमाणपत्रों को प्रीइंस्टॉल करने की आवश्यकता होती है। एंड्रॉइड 11 या उससे पहले के संस्करण में, उपयोगकर्ता सर्वर साइड सर्टिफिकेट के सत्यापन को दरकिनार करते हुए नेटवर्क सेटिंग्स में सर्वर सीए प्रमाणपत्र के लिए सत्यापन न करें विकल्प का चयन कर सकते हैं। हालाँकि, सुरक्षा को मजबूत करने और WPA R2 विनिर्देश का अनुपालन करने के लिए, Android 12 ने एंटरप्राइज़ नेटवर्क के लिए सर्वर प्रमाणपत्र सत्यापन की आवश्यकता की शुरुआत की। इस अतिरिक्त आवश्यकता ने उपयोगकर्ताओं के लिए बाधा उत्पन्न की क्योंकि उन्हें ऐसे नेटवर्क के लिए CA प्रमाणपत्र स्थापित करने की आवश्यकता होती है। TOFU उपयोगकर्ताओं को केवल इसके रूट CA को स्वीकार करके PKI- आधारित उद्यम नेटवर्क से जुड़ने का एक तरीका प्रदान करता है।
फ़ीचर व्यवहार
TOFU का समर्थन करने वाले उपकरण निम्न व्यवहार प्रदर्शित करते हैं जब उपयोगकर्ता किसी एंटरप्राइज़ नेटवर्क से कनेक्ट होता है जिसमें पहले से स्थापित प्रमाणित सार्वजनिक कुंजी नहीं होती है।
वाई-फाई पिकर के माध्यम से नए नेटवर्क से कनेक्ट करें
वाई-फ़ाई पिकर में नया एंटरप्राइज़ नेटवर्क चुनें.
नेटवर्क विश्वसनीय है या नहीं इसकी पुष्टि करने के लिए डिवाइस एक डायलॉग (चित्र 1) प्रदर्शित करता है।
हां टैप करें, नेटवर्क कनेक्शन स्वीकार करने के लिए कनेक्ट करें , या अस्वीकार करने के लिए नहीं, कनेक्ट न करें टैप करें।
- यदि आप हाँ, कनेक्ट करें टैप करते हैं, तो डिवाइस रूट CA प्रमाणपत्र और डोमेन नाम सहेजता है, नेटवर्क से कनेक्ट होता है, और नेटवर्क के लिए ऑटोकनेक्ट सक्षम करता है।
- यदि आप रद्द करें टैप करते हैं, तो डिवाइस नेटवर्क से डिस्कनेक्ट हो जाता है और नेटवर्क के लिए ऑटोकनेक्ट को अक्षम कर देता है।
चित्र 1. TOFU सुविधा के लिए संवाद
ऑटोकनेक्ट सक्षम के साथ मौजूदा नेटवर्क से कनेक्ट करें
किसी एंटरप्राइज़ नेटवर्क से कनेक्ट करते समय जिसमें ऑटोकनेक्ट सक्षम है लेकिन वैध CA प्रमाणपत्र नहीं है, डिवाइस स्वचालित रूप से कनेक्ट होता है, फिर एक चिपचिपा (नॉनडिसमिसेबल) नोटिफिकेशन प्रदर्शित करता है।
नोटिफिकेशन पर टैप करें।
नेटवर्क विश्वसनीय है या नहीं इसकी पुष्टि करने के लिए डिवाइस एक डायलॉग (चित्र 1) प्रदर्शित करता है।
हां टैप करें, नेटवर्क कनेक्शन स्वीकार करने के लिए कनेक्ट करें , या अस्वीकार करने के लिए नहीं, कनेक्ट न करें टैप करें।
- यदि आप हाँ, कनेक्ट करें टैप करते हैं, तो डिवाइस रूट CA प्रमाणपत्र और डोमेन नाम सहेजता है, नेटवर्क से कनेक्ट होता है, और नेटवर्क के लिए ऑटोकनेक्ट सक्षम करता है।
- यदि आप रद्द करें टैप करते हैं, तो डिवाइस नेटवर्क से डिस्कनेक्ट हो जाता है और नेटवर्क के लिए ऑटोकनेक्ट को अक्षम कर देता है।
कार्यान्वयन
TOFU सुविधा का समर्थन करने के लिए, /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant पर Android ओपन सोर्स प्रोजेक्ट (AOSP) में प्रदान किए गए पूरक HALs को लागू करें।
ऐप्स द्वारा उपयोग के लिए Android 13 में निम्नलिखित सार्वजनिक API उपलब्ध हैं:
-
WifiManager#isTrustOnFirstUseSupported(): इंगित करता है कि डिवाइस TOFU का समर्थन करता है या नहीं। -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): TOFU को सक्षम करता है। -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): इंगित करता है कि TOFU सक्षम है या नहीं।
मान्यकरण
अपने डिवाइस पर TOFU के कार्यान्वयन को मान्य करने के लिए, निम्नलिखित परीक्षणों का उपयोग करें:
- सीटीएस:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest