החל מ-27 במרץ 2025, מומלץ להשתמש ב-android-latest-release במקום ב-aosp-main כדי ליצור תרומות ל-AOSP. מידע נוסף זמין במאמר שינויים ב-AOSP.

דף זה תורגם על ידי Cloud Translation API.

סימון כרשת מהימנה בשימוש הראשון (TOFU)

במכשירים עם Android בגרסה 13 ואילך, מערכת Android תומכת בגישת האימות Trust on First Use (TOFU)‎ (RFC7435). הגישה הזו מאפשרת למשתמשים לבטוח ברשת ארגונית (EAP) על ידי התקנת רשות האישורים הבסיסית שבה נעשה שימוש בשרת והגדרת שם הדומיין שלה ברשת שנשמרה. השיטה הזו מאפשרת למכשיר לקבל מפתח ציבורי לא מאומת כשמשתמש מתחבר בפעם הראשונה לרשת ארגונית, ולשמור את המפתח לחיבורים הבאים.

רקע

לעומת רשתות אישיות שדורשות רק סיסמה, רשתות ארגוניות משתמשות באימות של תשתית מפתח ציבורי (PKI), שדורש מהלקוח להתקין מראש אישורים. ב-Android 11 ומגרסאות קודמות, המשתמשים יכולים לבחור באפשרות אל תאמת לאישור ה-CA של השרת בהגדרות הרשת, וכך לעקוף את האימות של אישור השרת. עם זאת, כדי לחזק את האבטחה ולעמוד בדרישות של מפרט WPA R2, ב-Android 12 נוספה דרישה שלפיה ברשתות ארגוניות צריך לאמת את אישור השרת. הדרישה הנוספת הזו יצרה מחסום למשתמשים, כי הם צריכים להתקין אישור CA ברשתות כאלה. השיטה TOFU מאפשרת למשתמשים להתחבר לרשת ארגונית שמבוססת על PKI, פשוט על ידי אישור רשות האישורים (CA) ברמה הבסיסית שלה.

התנהגות התכונה

במכשירים שתומכים ב-TOFU, כשמשתמש מתחבר לרשת ארגונית שאין בה מפתח ציבורי מאומת שכבר הותקן, מתרחשת הפעולה הבאה:

התחברות לרשת חדשה דרך בורר ה-Wi-Fi

בוחרים רשת ארגונית חדשה בכלי לבחירת רשת Wi-Fi.

במכשיר מוצגת תיבת דו-שיח (איור 1) שבה צריך לאשר שהרשת מהימנה.
מקישים על כן, רוצה להתחבר כדי לאשר את החיבור לרשת, או על לא, לא רוצה להתחבר כדי לדחות את החיבור.
- אם מקישים על כן, רוצה להתחבר, המכשיר מגדיר אוטומטית את פרמטרי האבטחה, מתחבר לרשת ומפעיל את החיבור האוטומטי לרשת.
  
  הערה: יכול להיות שרשתות עם הגדרה שגויה שמשתמשות באישורים לא תקינים או שפג תוקפם לא יאפשרו אימות אבטחה על ידי המכשיר. במקרים כאלה, המכשיר לא מצליח להתחבר לרשת.
- אם מקישים על לא, אל תתחבר, המכשיר מתנתק מהרשת והחיבור האוטומטי לרשת מושבת.
איור 1. תיבת דו-שיח לתכונה TOFU

התחברות לרשת קיימת עם הפעלת חיבור אוטומטי

כשמתחברים לרשת ארגונית שמופעל בה חיבור אוטומטי אבל אין לה אישור CA תקף, המכשיר מתחבר אוטומטית ואז מציג התראה קבועה (שאי אפשר לסגור).

מקישים על ההתראה.

במכשיר מוצגת תיבת דו-שיח (איור 1) שבה צריך לאשר שהרשת מהימנה.
מקישים על כן, רוצה להתחבר כדי לאשר את החיבור לרשת, או על לא, לא רוצה להתחבר כדי לדחות את החיבור.
- אם מקישים על כן, רוצה להתחבר, המכשיר מגדיר אוטומטית את פרמטרי האבטחה, מתחבר לרשת ומפעיל את החיבור האוטומטי לרשת.
  
  הערה: יכול להיות שרשתות עם הגדרה שגויה שמשתמשות באישורים לא תקינים או שפג תוקפם לא יאפשרו אימות אבטחה על ידי המכשיר. במקרים כאלה, המכשיר לא מצליח להתחבר לרשת.
- אם מקישים על לא, אל תתחבר, המכשיר מתנתק מהרשת והחיבור האוטומטי לרשת מושבת.

הטמעה

כדי לתמוך בתכונה TOFU, צריך להטמיע את ה-HALs של מבקש האימות שמופיעים ב-Android Open Source Project ‏ (AOSP) בכתובת /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.

ממשקי ה-API הציבוריים הבאים זמינים ב-Android 13 לשימוש באפליקציות:

‫WifiManager#isTrustOnFirstUseSupported(): מציין אם המכשיר תומך ב-TOFU.
‫WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): מפעיל את TOFU.
‫WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): מציין אם TOFU מופעל.

אימות

כדי לאמת את ההטמעה של TOFU במכשיר, אפשר להשתמש בבדיקות הבאות:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest

סימון כרשת מהימנה בשימוש הראשון (TOFU) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

רקע

התנהגות התכונה

התחברות לרשת חדשה דרך בורר ה-Wi-Fi

התחברות לרשת קיימת עם הפעלת חיבור אוטומטי

הטמעה

אימות

סימון כרשת מהימנה בשימוש הראשון (TOFU)