Per i dispositivi con Android 13 o versioni successive, Android supporta l'approccio per l'autenticazione Trust on First Use (TOFU) (RFC7435), che consente agli utenti di considerare attendibile una rete aziendale (EAP) installando l'autorità di certificazione principale utilizzata dal server e impostando il proprio nome di dominio in una rete salvata. TOFU consente al dispositivo per ottenere una chiave pubblica non autenticata quando un utente si connette per la prima volta a una rete aziendale e conserva la chiave per le connessioni successive.
Premessa
Rispetto alle reti personali che richiedono solo una password, le reti aziendali utilizza l'autenticazione PKI (Public Key Infrastructure), che richiede il client per preinstallare i certificati. In Android 11 o versioni precedenti, gli utenti possono selezionare l'opzione Non convalidare per il certificato CA del server nelle impostazioni di rete. bypassando la convalida del certificato lato server. Tuttavia, per rafforzare la sicurezza e la conformità alla specifica WPA R2, Android 12 ha introdotto requisito per le reti aziendali di disporre della convalida dei certificati server. Questo Il requisito aggiuntivo ha creato una barriera per gli utenti che devono installare una CA certificato per queste reti. TOFU consente agli utenti di connettersi a un rete aziendale basata sull'infrastruttura a chiave pubblica, accettando semplicemente la sua CA radice.
Comportamento della funzionalità
I dispositivi che supportano TOFU mostrano il seguente comportamento quando un utente si connette a una rete aziendale su cui non è già installato chiave pubblica autenticata.
Connettiti a una nuova rete tramite il selettore Wi-Fi
Seleziona una nuova rete aziendale nel selettore Wi-Fi.
Il dispositivo visualizza una finestra di dialogo (Figura 1) per confermare se la rete è attendibile.
Tocca Sì, connetti per accettare la connessione di rete oppure tocca No, non connettiti per rifiutare.
Se tocchi Sì, connetti il dispositivo configura automaticamente la parametri di sicurezza, si connette alla rete e abilita la connessione automatica per la rete.
Se tocchi No, non connettere, il dispositivo si disconnette dalla rete e disabilita la connessione automatica per la rete.
Figura 1. Finestra di dialogo per la funzionalità TOFU
Connettiti a una rete esistente con AutoConnect abilitato
Quando ti connetti a una rete aziendale in cui è attiva la connessione automatica, ma non dispone di un certificato CA valido, il dispositivo si connette automaticamente mostra una notifica fissa (non ignorabile).
Tocca la notifica.
Il dispositivo visualizza una finestra di dialogo (Figura 1) per confermare se la rete è attendibile.
Tocca Sì, connetti per accettare la connessione di rete oppure tocca No, non connettiti per rifiutare.
Se tocchi Sì, connetti il dispositivo configura automaticamente la parametri di sicurezza, si connette alla rete e abilita la connessione automatica per la rete.
Se tocchi No, non connettere, il dispositivo si disconnette dalla rete e disabilita la connessione automatica per la rete.
Implementazione
Per supportare la funzionalità TOFU, implementa gli HAL del fornitore forniti in
Android Open Source Project (AOSP) all'indirizzo
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
In Android 13 sono disponibili le seguenti API pubbliche per l'uso da parte di app:
WifiManager#isTrustOnFirstUseSupported(): Indica se il dispositivo supporta TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Consente di attivare TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Indica se TOFU è abilitato.
Convalida
Per convalidare l'implementazione di TOFU sul tuo dispositivo, utilizza i seguenti test:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest