Untuk perangkat yang menjalankan Android 13 atau yang lebih tinggi, Android mendukung pendekatan autentikasi Trust on First Use (TOFU) (RFC7435), yang memungkinkan pengguna mempercayai jaringan perusahaan (EAP) dengan menginstal CA root yang digunakan oleh server dan menyetel nama domainnya di jaringan yang disimpan. TOFU memungkinkan perangkat mendapatkan kunci publik yang tidak diautentikasi saat pengguna pertama kali terhubung ke jaringan perusahaan dan mempertahankan kunci untuk koneksi berikutnya.
Latar belakang
Dibandingkan dengan jaringan pribadi yang hanya memerlukan sandi, jaringan perusahaan menggunakan autentikasi public key infrastructure (PKI), yang mengharuskan klien menginstal sertifikat terlebih dahulu. Di Android 11 atau yang lebih lama, pengguna dapat memilih opsi Jangan validasi untuk sertifikat CA server di setelan jaringan, dengan melewati validasi sertifikat sisi server. Namun, untuk meningkatkan keamanan dan mematuhi spesifikasi WPA R2, Android 12 memperkenalkan persyaratan agar jaringan perusahaan memiliki validasi sertifikat server. Persyaratan tambahan ini menciptakan hambatan bagi pengguna karena mereka harus menginstal sertifikat CA untuk jaringan tersebut. TOFU memberikan cara bagi pengguna untuk terhubung ke jaringan perusahaan berbasis PKI hanya dengan menyetujui CA root-nya.
Perilaku fitur
Perangkat yang mendukung TOFU menampilkan perilaku berikut saat pengguna terhubung ke jaringan perusahaan yang tidak memiliki kunci publik terautentikasi yang sudah diinstal.
Menghubungkan ke jaringan baru melalui pemilih Wi-Fi
Pilih jaringan perusahaan baru di pemilih Wi-Fi.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan tepercaya.
Ketuk Ya, hubungkan untuk menyetujui koneksi jaringan, atau ketuk Tidak, jangan hubungkan untuk menolak.
Jika Anda mengetuk Ya, hubungkan, perangkat akan otomatis mengonfigurasi parameter keamanan, terhubung ke jaringan, dan mengaktifkan koneksi otomatis untuk jaringan.
Jika Anda mengetuk Tidak, jangan hubungkan, perangkat akan berhenti terhubung dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan tersebut.
Gambar 1. Dialog untuk fitur TOFU
Menghubungkan ke jaringan yang ada dengan fitur hubungkan otomatis diaktifkan
Saat terhubung ke jaringan perusahaan yang mengaktifkan koneksi otomatis tetapi tidak memiliki sertifikat CA yang valid, perangkat akan terhubung secara otomatis, lalu menampilkan notifikasi tetap (tidak dapat ditutup).
Ketuk notifikasi tersebut.
Perangkat menampilkan dialog (Gambar 1) untuk mengonfirmasi apakah jaringan tepercaya.
Ketuk Ya, hubungkan untuk menyetujui koneksi jaringan, atau ketuk Tidak, jangan hubungkan untuk menolak.
Jika Anda mengetuk Ya, hubungkan, perangkat akan otomatis mengonfigurasi parameter keamanan, terhubung ke jaringan, dan mengaktifkan koneksi otomatis untuk jaringan.
Jika Anda mengetuk Tidak, jangan hubungkan, perangkat akan berhenti terhubung dari jaringan dan menonaktifkan sambungan otomatis untuk jaringan tersebut.
Implementasi
Untuk mendukung fitur TOFU, terapkan HAL supplicant yang disediakan di
Project Open Source Android (AOSP) di
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.
API publik berikut tersedia di Android 13 untuk digunakan oleh aplikasi:
WifiManager#isTrustOnFirstUseSupported(): Menunjukkan apakah perangkat mendukung TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Mengaktifkan TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Menunjukkan apakah TOFU diaktifkan.
Validasi
Untuk memvalidasi penerapan TOFU di perangkat Anda, gunakan pengujian berikut:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest