Para dispositivos com o Android 13 ou mais recente, oferece suporte à abordagem de autenticação Trust on First Use (TOFU) (RFC7435). que permite que os usuários confiem em uma rede corporativa (EAP) instalando a AC raiz usada pelo servidor e configurando seu nome de domínio em uma rede salva. O TOFU permite o dispositivo para receber uma chave pública não autenticada quando um usuário se conecta pela primeira vez a uma rede corporativa e manter a chave para conexões subsequentes.
Contexto
Comparadas às redes pessoais, que só exigem uma senha, as redes empresariais usar autenticação de infraestrutura de chave pública (ICP, na sigla em inglês), que exige que o cliente para pré-instalar certificados. No Android 11 ou versões anteriores, os usuários podem selecionar a opção Não validar para o certificado de CA do servidor nas configurações de rede; ignorando a validação do certificado do lado do servidor. No entanto, para fortalecer segurança e obedecer à especificação WPA R2, o Android 12 introduziu para que as redes corporativas tenham validação de certificado do servidor. Isso outro requisito criou uma barreira para os usuários, já que eles precisam instalar uma AC. para tais redes. O TOFU oferece uma maneira para os usuários se conectarem a um rede empresarial baseada em ICP, basta aceitar a CA raiz.
Funcionamento do recurso
Dispositivos compatíveis com TOFU mostram o seguinte comportamento quando um usuário se conecta a uma rede corporativa que ainda não tem um balanceador de carga pré-instalado chave pública autenticada.
Conectar-se à nova rede pelo seletor de Wi-Fi
Escolha uma nova rede corporativa no seletor de Wi-Fi.
O dispositivo exibe uma caixa de diálogo (Figura 1) para confirmar se o é confiável.
Toque em Sim, conectar para aceitar a conexão de rede ou em Não quero conectar para recusar.
Se você tocar em Sim, conectar, o dispositivo configurará automaticamente o parâmetros de segurança, conecta-se à rede e ativa a conexão automática para a rede.
Se você tocar em Não, não conectar, o dispositivo será desconectado do e desativa a conexão automática dela.
Figura 1. Caixa de diálogo do recurso TOFU
Conectar à rede atual com a conexão automática ativada
Ao se conectar a uma rede corporativa com a conexão automática ativada, mas não tiver um certificado de CA válido, o dispositivo conectará automaticamente e exibe uma notificação fixa (não dispensável).
Toque na notificação.
O dispositivo exibe uma caixa de diálogo (Figura 1) para confirmar se o é confiável.
Toque em Sim, conectar para aceitar a conexão de rede ou em Não quero conectar para recusar.
Se você tocar em Sim, conectar, o dispositivo configurará automaticamente o parâmetros de segurança, conecta-se à rede e ativa a conexão automática para a rede.
Se você tocar em Não, não conectar, o dispositivo será desconectado do e desativa a conexão automática dela.
Implementação
Para oferecer suporte ao recurso TOFU, implemente as HALs suplicantes fornecidas no
Android Open Source Project (AOSP) em
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
As seguintes APIs públicas estão disponíveis no Android 13 para uso por aplicativos:
WifiManager#isTrustOnFirstUseSupported()
Indica se o dispositivo oferece suporte a TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean)
Ativa o TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled()
Indica se o TOFU está ativado.
Validação
Para validar a implementação do TOFU no seu dispositivo, use os seguintes testes:
- CTS:
CtsWifiTestCases
- VTS:
VtsHalWifiSupplicantStaNetworkTargetTest