Per i dispositivi con Android 13 o versioni successive, Android supporta l'approccio di autenticazione Trust on First Use (TOFU) (RFC7435), che consente agli utenti di considerare attendibile una rete aziendale (EAP) installando la CA principale utilizzata dal server e impostando il relativo nome di dominio in una rete salvata. TOFU consente al dispositivo di ottenere una chiave pubblica non autenticata quando un utente si connette per la prima volta a una rete aziendale e di conservare la chiave per le connessioni successive.
Background
Rispetto alle reti personali che richiedono solo una password, le reti aziendali utilizzano l'autenticazione PKI (Public Key Infrastructure), che richiede al client di preinstallare i certificati. In Android 11 o versioni precedenti, gli utenti possono selezionare l'opzione Non convalidare per il certificato CA del server nelle impostazioni di rete, bypassando la convalida del certificato lato server. Tuttavia, per rafforzare la sicurezza e rispettare la specifica WPA R2, Android 12 ha introdotto un requisito per le reti aziendali: la convalida del certificato del server. Questo requisito aggiuntivo ha creato una barriera per gli utenti, che devono installare un certificato CA per queste reti. TOFU offre agli utenti un modo per connettersi a una rete aziendale basata su PKI, semplicemente accettando la sua CA radice.
Comportamento della funzionalità
I dispositivi che supportano TOFU mostrano il seguente comportamento quando un utente si connette a una rete aziendale che non dispone di una chiave pubblica autenticata già installata.
Connettiti a una nuova rete tramite il selettore Wi-Fi
Seleziona una nuova rete aziendale nel selettore Wi-Fi.
Il dispositivo visualizza una finestra di dialogo (Figura 1) per confermare se la rete è attendibile.
Tocca Sì, connetti per accettare la connessione alla rete oppure No, non connettere per rifiutarla.
Se tocchi Sì, connetti, il dispositivo configura automaticamente i parametri di sicurezza, si connette alla rete e attiva la connessione automatica per la rete.
Se tocchi No, non connettere, il dispositivo si scollegherà dalla rete e disattiva la connessione automatica per la rete.
Figura 1. Dialogo per la funzionalità TOFU
Connettiti alla rete esistente con il collegamento automatico abilitato
Quando si connette a una rete aziendale in cui è attiva la connessione automatica, ma non è presente un certificato CA valido, il dispositivo si connette automaticamente e poi visualizza una notifica fissa (non ignorabile).
Tocca la notifica.
Il dispositivo mostra una finestra di dialogo (Figura 1) per confermare se la rete è attendibile.
Tocca Sì, connetti per accettare la connessione alla rete oppure No, non connettere per rifiutarla.
Se tocchi Sì, connetti, il dispositivo configura automaticamente i parametri di sicurezza, si connette alla rete e attiva la connessione automatica per la rete.
Se tocchi No, non connettere, il dispositivo si scollegherà dalla rete e disattiva la connessione automatica per la rete.
Implementazione
Per supportare la funzionalità TOFU, implementa gli HAL del supplicant forniti nell'Android Open Source Project (AOSP) all'indirizzo
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.
In Android 13 sono disponibili le seguenti API pubbliche per l'utilizzo da parte delle app:
WifiManager#isTrustOnFirstUseSupported(): indica se il dispositivo supporta TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): attiva il TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): indica se TOFU è abilitato.
Convalida
Per convalidare l'implementazione del TOFU sul tuo dispositivo, utilizza i seguenti test:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest