Untuk perangkat yang menjalankan Android 13 atau lebih tinggi, Android mendukung pendekatan autentikasi Trust on First Use (TOFU) ( RFC7435 ), yang memungkinkan pengguna memercayai jaringan perusahaan (EAP) dengan menginstal root CA yang digunakan oleh server dan menyetel nama domainnya di a jaringan yang disimpan. TOFU memungkinkan perangkat memperoleh kunci publik yang tidak diautentikasi saat pengguna pertama kali tersambung ke jaringan perusahaan dan menyimpan kunci untuk sambungan berikutnya.
Latar belakang
Dibandingkan dengan jaringan pribadi yang hanya memerlukan kata sandi, jaringan perusahaan menggunakan otentikasi infrastruktur kunci publik (PKI), yang mengharuskan klien untuk menginstal sertifikat terlebih dahulu. Di Android 11 atau lebih rendah, pengguna dapat memilih opsi Jangan validasi untuk sertifikat CA server di pengaturan jaringan, sehingga melewati validasi sertifikat sisi server. Namun, untuk memperkuat keamanan dan mematuhi spesifikasi WPA R2, Android 12 memperkenalkan persyaratan bagi jaringan perusahaan untuk memiliki validasi sertifikat server. Persyaratan tambahan ini menciptakan hambatan bagi pengguna karena mereka perlu menginstal sertifikat CA untuk jaringan tersebut. TOFU menyediakan cara bagi pengguna untuk terhubung ke jaringan perusahaan berbasis PKI hanya dengan menerima root CA-nya.
Perilaku fitur
Perangkat yang mendukung TOFU menampilkan perilaku berikut ketika pengguna tersambung ke jaringan perusahaan yang tidak memiliki kunci publik terautentikasi yang sudah diinstal .
Hubungkan ke jaringan baru melalui pemilih Wi-Fi
Pilih jaringan perusahaan baru di alat pilih Wi-Fi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan tersebut dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan sambungkan untuk menolak.
Jika Anda mengetuk Ya, sambungkan , perangkat secara otomatis mengonfigurasi parameter keamanan, menyambung ke jaringan, dan mengaktifkan sambungan otomatis untuk jaringan.
Jika Anda mengetuk Tidak, jangan sambungkan , perangkat akan terputus dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan tersebut.
Gambar 1. Dialog fitur TOFU
Hubungkan ke jaringan yang ada dengan koneksi otomatis diaktifkan
Saat menyambung ke jaringan perusahaan yang mengaktifkan sambungan otomatis namun tidak memiliki sertifikat CA yang valid, perangkat akan tersambung secara otomatis, lalu menampilkan pemberitahuan melekat (tidak dapat ditutup).
Ketuk notifikasi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan tersebut dipercaya.
Ketuk Ya, sambungkan untuk menerima koneksi jaringan, atau ketuk Tidak, jangan sambungkan untuk menolak.
Jika Anda mengetuk Ya, sambungkan , perangkat secara otomatis mengonfigurasi parameter keamanan, menyambung ke jaringan, dan mengaktifkan sambungan otomatis untuk jaringan.
Jika Anda mengetuk Tidak, jangan sambungkan , perangkat akan terputus dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan tersebut.
Penerapan
Untuk mendukung fitur TOFU, implementasikan HAL pemohon yang disediakan dalam Proyek Sumber Terbuka Android (AOSP) di /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .
API publik berikut tersedia di Android 13 untuk digunakan oleh aplikasi:
-
WifiManager#isTrustOnFirstUseSupported(): Menunjukkan apakah perangkat mendukung TOFU. -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Mengaktifkan TOFU. -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Menunjukkan apakah TOFU diaktifkan.
Validasi
Untuk memvalidasi penerapan TOFU pada perangkat Anda, gunakan pengujian berikut:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest