初回使用時の信頼（TOFU）

Android 13 以降を搭載したデバイスの場合、Android では初回使用時の信頼（TOFU）認証方法（RFC7435）がサポートされています。ユーザーはサーバーで使用されるルート CA をインストールし、保存済みネットワークにドメイン名を設定することで、エンタープライズ（EAP）ネットワークを信頼できます。TOFU を使用すると、デバイスは、ユーザーが最初にエンタープライズ ネットワークに接続する際に未認証の公開鍵を取得し、以降の接続のためにその鍵を保持できます。

背景

パスワードだけが必要な個人用ネットワークとは異なり、エンタープライズ ネットワークでは、クライアントが証明書をプリインストールする必要がある公開鍵基盤（PKI）認証が使用されます。Android 11 以前では、ユーザーは、ネットワーク設定でサーバー CA 証明書の [検証しない] オプションを選択して、サーバー側の証明書の検証を回避できます。一方、セキュリティを強化し、WPA R2 の仕様に準拠するため、Android 12 ではエンタープライズ ネットワークでのサーバー証明書の検証が必須になりました。この追加要件により、該当するネットワークを使用するユーザーに、CA 証明書をインストールしなければならないという障壁が発生しました。TOFU を使用すると、ユーザーはルート CA を受け入れるだけで、PKI ベースのエンタープライズ ネットワークに接続できます。

機能の動作

TOFU をサポートするデバイスは、インストール済みで認証済み公開鍵を持たないエンタープライズ ネットワークにユーザーが接続したときに、次の動作を行います。

Wi-Fi 選択ツールを使って新しいネットワークに接続する

1. Wi-Fi 選択ツールで新しいエンタープライズ ネットワークを選択します。

   デバイスに、ネットワークが信頼できるかどうかを確認するためのダイアログ（図 1）が表示されます。

2. [はい、接続します] をタップしてネットワーク接続を受け入れるか、[いいえ、接続しません] をタップして拒否します。

   • [はい、接続します] をタップすると、デバイスがセキュリティ パラメータを自動的に設定してネットワークに接続し、ネットワークの自動接続が有効になります。

   • [いいえ、接続しません] をタップすると、デバイスがネットワークから切断され、ネットワークの自動接続が無効になります。

   

   図 1. TOFU 機能のダイアログ

自動接続を有効にして既存のネットワークに接続する

自動接続が有効であるが、有効な CA 証明書がないエンタープライズ ネットワークに接続すると、デバイスが自動的に接続され、固定された（非表示にできない）通知が表示されます。

1. 通知をタップします。

   デバイスに、ネットワークが信頼できるかどうかを確認するためのダイアログ（図 1）が表示されます。

2. [はい、接続します] をタップしてネットワーク接続を受け入れるか、[いいえ、接続しません] をタップして拒否します。

   • [はい、接続します] をタップすると、デバイスがセキュリティ パラメータを自動的に設定してネットワークに接続し、ネットワークの自動接続が有効になります。

   • [いいえ、接続しません] をタップすると、デバイスがネットワークから切断され、ネットワークの自動接続が無効になります。

実装

TOFU 機能をサポートするには、/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant の Android オープンソース プロジェクト（AOSP）で提供されるサプリカント HAL を実装します。

Android 13 では、次の公開 API をアプリで使用できます。

• WifiManager#isTrustOnFirstUseSupported(): デバイスが TOFU をサポートしているかどうかを示します。
• WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): TOFU を有効にします。
• WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): TOFU が有効かどうかを示します。

検証

デバイスでの TOFU の実装を検証するには、次のテストを使用します。

• CTS: CtsWifiTestCases
• VTS: VtsHalWifiSupplicantStaNetworkTargetTest