דף זה תורגם על ידי Cloud Translation API.

אמון בשימוש ראשון (TOFU)

עבור מכשירים המריצים אנדרואיד 13 ומעלה, אנדרואיד תומכת בגישת האימות של Trust on First Use (TOFU) ( RFC7435 ), המאפשרת למשתמשים לסמוך על רשת ארגונית (EAP) על ידי התקנת CA השורש המשמש את השרת והגדרת שם הדומיין שלו. רשת שמורה. TOFU מאפשר למכשיר להשיג מפתח ציבורי לא מאומת כאשר משתמש מתחבר לראשונה לרשת ארגונית ולשמור את המפתח לחיבורים הבאים.

רקע כללי

בהשוואה לרשתות אישיות שרק דורשות סיסמה, רשתות ארגוניות משתמשות באימות של תשתית מפתח ציבורי (PKI), המחייב את הלקוח להתקין מראש אישורים. באנדרואיד 11 ומטה, משתמשים יכולים לבחור באפשרות אל תאמת עבור אישור ה-CA של השרת בהגדרות הרשת, תוך עקיפת האימות של אישור צד השרת. עם זאת, כדי לחזק את האבטחה ולעמוד במפרט WPA R2, אנדרואיד 12 הציגה דרישה לרשתות ארגוניות לאימות אישור שרת. דרישה נוספת זו יצרה מחסום עבור המשתמשים שכן הם צריכים להתקין אישור CA עבור רשתות כאלה. TOFU מספק דרך למשתמשים להתחבר לרשת ארגונית מבוססת PKI פשוט על ידי קבלת CA השורש שלה.

התנהגות תכונה

מכשירים התומכים ב-TOFU מציגים את ההתנהגות הבאה כאשר משתמש מתחבר לרשת ארגונית שאין בה מפתח ציבורי מאומת שכבר מותקן .

התחבר לרשת חדשה באמצעות בוחר Wi-Fi

בחר רשת ארגונית חדשה בבורר ה-Wi-Fi.
המכשיר מציג תיבת דו-שיח (איור 1) כדי לאשר אם הרשת מהימנה.
הקש על כן, התחבר כדי לקבל את חיבור הרשת, או הקש על לא, אל תתחבר כדי לדחות.
- אם תקיש על כן, התחבר , המכשיר יגדיר אוטומטית את פרמטרי האבטחה, מתחבר לרשת ומאפשר חיבור אוטומטי לרשת.
  הערה: רשתות עם הגדרות שגויות המשתמשות בתעודות לא חוקיות או שפג תוקפן עשויות שלא לאפשר אימות אבטחה כלשהו על ידי ההתקן. במקרים כאלה, המכשיר לא מצליח להתחבר לרשת.
- אם תקיש על לא, אל תתחבר , המכשיר יתנתק מהרשת וישבית את החיבור האוטומטי עבור הרשת.
איור 1. דיאלוג לתכונת TOFU

התחבר לרשת קיימת עם חיבור אוטומטי מופעל

בעת התחברות לרשת ארגונית שהחיבור האוטומטי מופעל אך אין לה אישור CA חוקי, המכשיר מתחבר אוטומטית, ולאחר מכן מציג הודעה דביקה (שלא ניתנת לביטול).

הקש על ההודעה.
המכשיר מציג תיבת דו-שיח (איור 1) כדי לאשר אם הרשת מהימנה.
הקש על כן, התחבר כדי לקבל את חיבור הרשת, או הקש על לא, אל תתחבר כדי לדחות.
- אם תקיש על כן, התחבר , המכשיר יגדיר אוטומטית את פרמטרי האבטחה, מתחבר לרשת ומאפשר חיבור אוטומטי לרשת.
  הערה: רשתות עם הגדרות שגויות המשתמשות בתעודות לא חוקיות או שפג תוקפן עשויות שלא לאפשר אימות אבטחה כלשהו על ידי ההתקן. במקרים כאלה, המכשיר לא מצליח להתחבר לרשת.
- אם תקיש על לא, אל תתחבר , המכשיר יתנתק מהרשת וישבית את החיבור האוטומטי עבור הרשת.

יישום

כדי לתמוך בתכונת ה-TOFU, יישם את ה-HALs המבקשים הניתנים בפרויקט הקוד הפתוח של Android (AOSP) בכתובת /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .

ממשקי ה-API הציבוריים הבאים זמינים ב-Android 13 לשימוש על ידי אפליקציות:

WifiManager#isTrustOnFirstUseSupported() : מציין אם המכשיר תומך ב-TOFU.
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : מאפשר TOFU.
WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : מציין אם TOFU מופעל.

מַתַן תוֹקֵף

כדי לאמת את היישום של TOFU במכשיר שלך, השתמש בבדיקות הבאות:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest