En WPA2-Enterprise, ¿dónde entra AES?

PEAP es un protocolo de autenticación que reutiliza TLS para establecer un túnel de tipo seguro entre el cliente y el servidor de autenticación. Nominalmente, SSL / TLS utiliza un medio de transporte bidireccional dúplex completo (como una conexión TCP) y proporciona un túnel bidireccional dúplex completo. Sin embargo, las partes iniciales de SSL / TLS (el "apretón de manos") se pueden expresar como mensajes donde cada parte involucrada conoce, en cualquier momento, quién debe hablar a continuación. Por lo tanto, este apretón de manos se puede asignar a un medio de transporte de solicitud-respuesta, y eso es lo que hace PEAP.

Hay un buen esquema general en la página de Wikipedia . El suplicante (es decir, el sistema cliente, también conocido como su computadora portátil) habla con el servidor de autenticación a través de marcos EAP que son retransmitidos por el punto de acceso. Estas tramas EAP contienen, para PEAP, un protocolo de enlace TLS optimizado, que luego se usa para transmitir las credenciales (generalmente, nombre de usuario y contraseña) del solicitante al servidor de autenticación; además , el "secreto maestro" que se obtiene a través del protocolo de enlace TLS se usa como una de las fuentes para la derivación de una nueva clave que se entrega al cliente y el punto de acceso. Consulte el borrador de EAP-TLS (sección 2.5) para obtener más información.

Todo esto es complejo (en mi opinión, bastante más complejo de lo que debería ser) pero la idea central es que el protocolo de autenticación está encapsulado en marcos EAP y da como resultado una clave simétrica autenticada (aquí, la autenticación protocolo reutiliza partes de TLS). Luego la clave simétrica se usa para el cifrado entre el solicitante y el punto de acceso, con AES (en modo CCM), completamente fuera de TLS; El protocolo de enlace TLS realizado dentro del protocolo de autenticación ha desempeñado su función, y ese ya no se utiliza el túnel TLS.